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Acerca de Crlptica 


Crfptica es una asociacion constituida a mediados del ano 
2015 con el objetivo de ofrecer formacion en materia de 
privacidad. Desde su fundacion, la asociacion ha llevado a 
cabo charlas, talleres y ciclos tanto bajo demanda como por 
organizacion propia. Los receptores han sido de lo mas va- 
riado: desde alumnos de instituto hasta colectivos activistas, 
festivales de arte, asociaciones de periodistas y estudiantes 
universitarios. 

En sus ya cuatro anos de vida, Crfptica ha avanzado lenta 
pero segura, acercando las herramientas de protection de la 
privacidad a quienes las necesitaban, asf como haciendo pe- 
dagogfa de buenas practicas de seguridad operacional. 

Ante la perversion de la tecnologfa que debia servir para 
comunicar, informar y conectar a personas, Crfptica se erige 
en defensa de la privacidad como barrera indispensable para 
proteger derechos fundamentales como la libertad de expre- 
sion, asociacion y el derecho a la intimidad. 

Ante el desaffo de la vigilancia masiva, la asociacion se 
ha mantenido firme en sus principios: criptograffa, descen- 
tralizacion, codigo abierto y usabilidad como armas contra 
el espionaje global desvelado por las filtraciones de Edward 
Snowden en el 2013. Redes de anonimato, aplicaciones de 
mensajerfa segura, proveedores eticos de servicios, bloquea- 
dores del rastreo, servicios en la nube descentralizados... Las 
herramientas evolucionan cada dfa, pero la maquinaria de vi¬ 
gilancia tambien. Es el objetivo principal de Crfptica hacer de 
puente entre la innovation tecnologica en materia de privaci¬ 
dad y la sociedad, ofrecer herramientas seguras para proteger 
los derechos que se ven amenazados en la era en que vivimos. 



Prologo 

Una decision politica 


Si tienes este libro en tus manos significa que la seguridad 
de tu movil -de las comunicaciones que mantienes y de los 
datos que almacenas en el- te preocupa; o crees que lo puede 
llegar a hacer. Si no, quizas son los que se preocupan quienes 
te intrigan, y lees estas lineas con una sonrisa burlona pen- 
sando que todo esto es inutil, una idiotez para gente que ha 
visto demasiadas peliculas. O quien sabe si eres un paranoico 
que esta acostumbrado, antes de las reuniones, a guardar el 
telefono con los otros moviles en una lata de galletas metali- 
ca; la clase de persona que sabria como hacerse una bolsa de 
Faraday con un poco de plastico y papel de aluminio y que 
guarda un par de tarjetas SIM a nombre de algun ciudadano 
extranjero, por si acaso. En cualquiera de los tres casos y de 
las infinitas opciones que hay entre ellos, yo de ti continuaria 
leyendo. 

Este manual no es una lista de herramientas, aplicacio- 
nes y las instrucciones para usarlas. Todo esto esta entre estas 
paginas —no te preocupes— bien hecho y actualizado. Eso 
si, no esperes encontrarte una receta facil con instrucciones 
cerradas. Los autores, los miembros de Criptica, te trataran 
como a un adulto: explicandote los pros y los contras de cada 
opcion y dejandote la eleccion a ti, en funcion de tu situacion 
y condiciones, del contexto -una palabra que se olvida de- 
masiado a menudo-. Tambien, y sobre todo, el libro es una 
puerta a otra forma de ver las cosas, de pensar. Aunque esta 
guia se enfoca en el pequeno aparato que siempre llevas enci- 
ma, te puede abrir el camino para entender como funciona el 
mundo hoy en dia. Puede ser una via para aprender un tipo de 
defensa personal que funciona sin armas ni golpes. Es posible 
que dudes que algo de esto te pueda llegar a ser util alguna 
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vez, y es una buena pregunta, pero la respuesta ya la sabes tu 
mismo, o no lo leerias. 

No recuerdo cuando descubri que era la criptografia y 
me dio por investigarlo leyendo desordenadamente webs, 
blogs, libros, articulos, foros... Aun estudiaba, o sea que 
debia ser antes del 2004. Removiendo dentro y fuera de In¬ 
ternet descubri el programa PGP (Pretty Good Privacy), de 
Phil Zimmermann, y el concepto de criptografla asimetri- 
ca o de clave publica. Todo aquello no tenia nada que ver 
con mi formation -habia estudiado historia y acababa pe- 
riodismo-, pero llamaba la atencion y, en cierto modo, llego 
a obsesionarme. Incluso me empene en intentar entender las 
operaciones matematicas en las que se basaban diferentes tec- 
nicas criptograficas, incluyendo la de clave publica, y me pude 
hacer una idea aproximada. Lo probe, y resulto mas facil de 
lo que habia pensado. Con la extension Enigmail del cliente 
de correo electronico Thunderbird me hice un juego de Haves. 
Ya podia enviar -jy recibir!- correos electronicos cifrados. 

Pero ia quien? <;Y por que? No tenia ningun sentido. 
Los profesionales del oficio que empezaba a aprender y que 
me rodeaban no cifraban nunca nada, que yo supiera. Mis 
amigos aun menos, y si contaba a alguien algo de lo que iba 
descubriendo la respuesta mas benevola que recibia era una 
mirada sarcastica que insinuaba que era un friki (cosa que, 
por otra parte, siempre ha sido un poco cierta). Todo lo que 
aprendia quedaba mas o menos arrinconado en la memoria, 
como mucho servia para cansar los oidos de alguna chica y 
un par de amigos. Sin embargo, la curiosidad me asediaba, 
y continue leyendo sobre algunos conceptos basicos de fun- 
cionamiento de la red, anonimato en Internet y seguridad 
informatica en general. Nunca he pasado de ser, como mucho, 
un usuario avanzado, pero insist!. Y durante anos todo aque¬ 
llo parecia un conocimiento inutil. Una aficion extraha. Hasta 
que Edward Snowden hablo. 

Los medios de comunicacion, WikiLeaks y las redes so- 
ciales comenzaron a esparcir information sobre las tecnicas 
de espionaje de Estados Unidos y sus aliados. Aquel goteo de 
filtraciones aun dura, hasta el punto de que casi se han nor- 
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malizado las noticias sobre la vigilancia masiva. Pero nadie 
ha ido a la carcel y el espionaje continua. Seguimos utilizando 
los servicios y los aparatos de las empresas tecnologicas que 
colaboraban en espiarnos. De hecho, nada ha cambiado. O 
eso parecia. 

Seria bonito decir que una parte importante de la sociedad, 
de repente, tomo conciencia de hasta que punto entregamos 
cantidades ingentes de information sobre nosotros mismos 
a empresas que, ademas de hacer negocio, la comparten con 
autoridades gubernamentales, agencias de espionaje y otras 
empresas. Seria bonito decirlo, pero falso. En parte, porque 
a la mayoria de ciudadanos la posibilidad de que los espie la 
NSA, el GCHQ o el CNI les importa un bledo, y con razon. 
De entrada, porque dificilmente tendran algo que temer. Pero 
tambien porque quien quiera evitar espionaje de este nivel 
lo que deberia hacer, seguramente, es tirar el movil al rio y 
tomarse este libro como un pasatiempo. 

Sin embargo, el mundo, despues de Snowden, no es exac- 
tamente el mismo. Cierta ingenuidad general ha desaparecido 
y, aunque decidimos continuar como hasta ahora por como- 
didad, no podemos evitar sospechar hasta que punto nuestros 
datos personales pueden ser valiosos, y volatiles. La verdad 
es que aquellos conocimientos que fui recopilando como por 
una aficion extraha cada vez me han sido mas utiles. Algunas 
-contadas- veces me han servido para acceder a alguna fuen- 
te especialmente prudente y comunicarme de forma segura, 
pero sobre todo me han permitido darme cuenta de cosas que 
pasan -y contarlas- y, ademas, me han ayudado a comprender 
mejor el mundo en que vivimos. Ahora no es raro ver perio- 
distas que incluyen en su perfil de Twitter o en la firma del 
correo electronico una secuencia de numeros y letras que sirve 
para que les puedan mandar correos electronicos cifrados, o 
el enlace directo a su clave publica. Es mas: hay herramientas 
que usan cifrado de extremo a extremo que son mucho mas 
accesibles -y usables- que las de hace quince anos. A muchos 
lectores os sonaran servicios como ProtonMail o aplicaciones 
como Signal, que no hace tanto habria parecido propia de 
una pelicula de espias. Algunos incluso la habreis descargado. 
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<;Pero de que sirve comunicarse con Signal, aunque sea 
con la option de autodestruction de los mensajes activada, 
si se muestra la pantalla del movil con el brillo al maximo 
en un lugar publico, lleno de periodistas, camaras y fotogra- 
fos armados con teleobjetivos inmensos? De lo mismo que 
puede servir comprar una puerta blindada y cerrar de golpe 
o dejarse la ventana de casa abierta. Pero ambas cosas pasan 
-pregunta a cualquier policia que se dedique a investigar 
robos, o al exconseller Toni Comm-. Descargarte una apli- 
cacion o aprender a cifrar un correo electronico, por si solo, 
no te blindara. De hecho, segun como, no te protegera nada y 
aun te hara la vida mas complicada. 

La principal aportacion de este libro que tienes en tus 
manos es que expone los primeros pasos para entender la 
seguridad en los telefonos moviles en funcion del contexto, 
y poder actuar en consecuencia. Por eso, aunque algunas de 
las aplicaciones que se detallan en la parte final pueden aca- 
bar desapareciendo, cambiando, o bien se puede descubrir 
que tienen agujeros de seguridad, el libro no caduca. Permite 
abordar la seguridad en el movil de una manera holistica, que 
no perdera el sentido pronto, a pesar de las actualizaciones 
constantes de un sector acelerado. Esto es asi porque se en- 
tretiene en hablar de una parte olvidada en la mayoria de 
manuales y guias de este tipo, que suelen ser una lista mas 
o menos conseguida de aplicaciones y de normas cerradas. 
Este libro habla de la seguridad operacional (OPSEC). No 
voy a entrar a definir que es porque ya lo hacen las primeras 
paginas. Basta decir que tener el movil cifrado y aplicaciones 
seguras, fiables y que respeten tu intimidad no garantiza nada 
si no se tienen en cuenta algunos conceptos basicos de segu¬ 
ridad operacional. 

La information siempre ha sido la clave del poder. Esto 
no es nuevo, ya pasaba en tiempos de Sun Tzu, continuaba 
siendo asi en la epoca de Raimondo Mazzarino y ahora se 
mantiene igual. La gran diferencia es la cantidad ingente de 
datos que se generan y se pueden procesar hoy en dia, capaz 
de definir y radiografiar casi cualquier aspecto de la vida hu- 
mana. Proyectos como este libro, y como el trabajo que hace 
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la entidad que lo ha escrito, Criptica, tan solo pretenden que 
los ciudadanos podamos mantener un cierto control sobre 
nuestros propios datos, sobre nuestra propia vida. Que tenga- 
mos la opcion de decidir. 

Saber como funciona nuestro mundo no puede ser nunca 
un conocimiento inutil, es una base imprescindible para poder 
ser ciudadanos conscientes y actuar politicamente sobre aque- 
llo que no nos gusta del presente y lo que queremos para el 
futuro. En este sentido, este libro es una herramienta profun- 
damente politica. Porque el debate de la seguridad, aunque 
sea a nivel individual, es inseparable de la politica, forma 
parte de ella. Optar por una aplicacion u otra, para usar una 
contrasena resistente o el tipico «1234», para cifrar el movil 
o para compartir todo detalle de nosotros mismos en las redes 
sociales, son decisiones politicas. Aunque cuando las toma- 
mos no seamos conscientes, no dejan de serlo. Incluso cuando 
renuncias a decidir, lo que haces en realidad es tomar una 
opcion por omision, de la peor manera posible. 

Leer este manual, aunque sea por curiosidad, tambien es 
una decision politica. Es tomar la opcion de empezar a ser 
consciente, de tragarte la pildora roja. Tu dia a dia no cambia- 
ra, pero tal vez, solo tal vez, empezaras a pensar de una forma 
diferente. Y querras mas, como me paso a mi. 


Enric Borras Abello 
Director ARA Balears 



Introduction 


«En sus momentos de mayor intensidad, [el boxeoj 
parece contener una imagen de la vida tan com- 
pleta y potente -belleza de la vida, vulnerabilidad, 
desesperacion, coraje incalculable y a veces autodes- 
tructivo- que el boxeo es la vida, y dificilmente un 
simple juego. [...] El beisbol, el futbol, el baloncesto: 
esos pasatiempos tan esencialmente norteamericanos 
son deportes de facil reconocimiento porque implican 
juego: son juegos. Se juega al futbol, no se juega al 
boxeo » 1 . 

Joyce Carol Oates 

Como no podria ser de otra forma, partimos de una si¬ 
tuation. Situation que, fuera de toda duda, compartimos 
con la potencial comunidad de lectores: la era de la telefonia 
inteligente. «Esto lo cambia todo» era el eslogan del primer 
iPhone: como diagnostico, no podia ser mas acertado. El te- 
lefono inteligente se ha convertido en el interlocutor central 
del dialogo que mantenemos con el mundo. No hace falta ser 
ingeniero para saber que los vinculos que se van estableciendo 
con la realidad exterior estaran dentro de poco determinados 
y dirigidos por el nuevo dispositivo fundamental, que se llama 
smartphone. 

Aunque nuestro ambito de trabajo sea el de la seguridad 
en las tecnologias de la information, esta guia es antes que 
nada el producto resultante de una apuesta visceral, fruto de 
nuestra experiencia sensible: detectamos una preponderancia 
absoluta del smartphone en nuestra vida cotidiana, lo que re- 
fuerza el interes que le asignamos como objeto de estudio, 
por delante de otros dispositivos informacionales como el or- 


t 


Joyce Carol Oates (2015): Del boxeo, Debolsillo, Barcelo¬ 
na, p. 39. 
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denador portatil, el reloj o la tableta -los cuales se han visto 
relegados a la condition de meros personajes secundarios, 
perifericos, respecto al objeto principal- De este modo, la 
justification del presente manual no es de indole tecnologica, 
sino fenomenologica. 

Fenomenologica tambien en segunda instancia porque 
dejamos bajo criterio del lector la evaluation etica del smar¬ 
tphone. Este manual no formula juicios eticos «a favor» o 
«en contra» de dicho aparato o de la tecnologia en general, 
sino que parte del analisis de una situation concreta (el papel 
central del smartphone en la vida diaria) para desarrollar 
el arte de saber moverse en ella, de hacerlo a pesar de ella. 
Lo que pretendemos con esta guia es comenzar a abordar el 
dificil periodo que la telefonia inteligente ha abierto para la 
seguridad, al margen de valoraciones eticas sobre su conve- 
niencia o no en la vida social. «Mi escritura no es nada, mi 
boxeo lo es todo», solia decir Ernest Hemingway. Siguiendo 
su ejemplo, nuestras opiniones eticas o incluso politicas son 
aqui irrelevantes; nos contentaremos con ejercer bien nuestra 
labor tecnica, con vistas a comunicar las mejores formas de 
afrontar el combate. 

El primer consejo que daremos en este manual, respecto al 
cual todos los demas son secundarios, es el de dejar de tratar 
el telefono inteligente como si fuera un contenedor masivo de 
todo tipo de informaciones 2 . El alter ego virtual que habita 
en nuestro smartphone se vuelve potencialmente mas com- 
prometedor para nuestra seguridad conforme lo alimentamos 
con fotografias, mensajes e interacciones de todo tipo, hasta 
generar un retrato robot perfectamente definido de quienes 
somos. Y dado que se trata de un dispositivo que tiende a 
centralizar la information perteneciente a una gran variedad 
de actividades diarias, lo mas urgente sera dejar de traducir 


2 Information: nos referimos en todo momento a un con- 

cepto estrictamente computacional del termino, en el sen- 
tido acunado en la teoria matematica de la comunicacion 
de Claude E. Shannon y Warren Weaver (no a conocimien- 
to expuesto por medio de la lengua). Information entendi- 
da como unidades cuantificables de todo tipo de datos. 
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informacionalmente toda nuestra vida como primera medi- 
da de seguridad. No existe una informacion mejor protegida 
que aquella que no se llega a generar, ya que no existe forma 
alguna, humana o tecnica, de comprometerla. La funcion 
de la seguridad es la de ser una ultima barrera para garan- 
tizar la integridad de las informaciones que necesitamos, a 
pesar de todo, producir. No tener que depender de ella es la 
unica manera posible de situar la confidencialidad de nuestra 
informacion en un piano superior, a salvo de todo tipo de 
artimanas por acceder a ella. 

Asimismo, una excesiva dependencia del telefono podria 
hacer que acabaramos depositando la mayor parte de los 
datos que generamos en un mismo aparato, inercia que se 
traduce en riesgo desde el momento en que un unico ataque 
exitoso contra el terminal podria dejar integralmente expues- 
ta nuestra vida digital. Sea como sea, tenemos que disminuir 
el peso de esta mochila de datos a la que llamamos smartpho¬ 
ne: para que nuestra excursion no se acabe convirtiendo en un 
martirio, tendremos que aprender a cargar unicamente con lo 
fundamental de verdad. 

El presente manual consta de dos dimensiones importan- 
tes por igual: seguridad operacional y seguridad instrumental. 
Unicamente con la sutil combinacion de ambas disciplinas se 
pueden recrear las condiciones para desplegar cierto estado 
de seguridad (aunque en la mayorfa de ocasiones no baste 
simplemente con eso). Bajo el paradigma cibernetico actual, 
la seguridad operacional sin un conocimiento tecnico estricto 
es mero parloteo existencial, mientras que la seguridad instru¬ 
mental separada del pensamiento operacional es un abandono 
de la facultad estrategica que toda tecnica contiene. Aprender 
las tecnicas, si, pero siempre atendiendo a las condiciones en 
las que su uso cobra sentido, de forma que sepamos a cual de 
ellas recurrir en cada momento sin ceder un apice de iniciati- 
va. La situacion que describimos exige algo mas que backers 
o estrategas en abstracto; requiere de su interaccion forzosa 
para desarrollar conjuntamente una inteligencia de la situa¬ 
cion, un analisis fenomenologico aplicado, capaz de captar al 
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detalle nuestra condition como seres atrapados en las redes 
de la cibernetica. Y partir de ahi, para saber como hacer. 

Seguridad operacional 


La seguridad operacional (OPSEC, en sus siglas en ingles, 
operational security) es la gran olvidada de los manuales de 
seguridad. Llamamos OPSEC al tipo de seguridad que no se 
ocupa de desarrollar o aconsejar herramientas, sino pautas de 
uso y de comportamiento que nos sirven para adquirir ven- 
taja estrategica en un hipotetico choque de fuerzas con un 
determinado oponente. Elasta la fecha, el analisis operacional 
ha sido desatendido en pro del conocimiento estrictamente 
tecnico o instrumental. La razon de este olvido puede en- 
contrarse en la formation predominantemente tecnica de la 
mayoria de formadores, los cuales pretenden transmitir en 
bloque los conocimientos tecnicos mas avanzados sin atender 
antes a los aspectos sociales de la seguridad y a su naturaleza 
tactica, cuando estos de hecho los preceden. Contrariamente 
a lo que podria parecer desde fuera, el conocimiento tecnico 
avanzado en absoluto garantiza un conocimiento notable en 
lo referente a la seguridad operacional, a no ser que evolucio- 
ne a lo que llamamos pensamiento adversarial 3 , el cual deja de 
ser «tecnico » en gran medida. 

La seguridad operacional es pensamiento adversarial apli- 
cado a las exigencias de una empresa concreta, en un lugar 
y tiempo claramente delimitados, frente a antagonistas que 
pugnan por hacerse con la hegemonia. Le corresponde dise- 
nar un marco tactico adecuado para desplegar exitosamente 
las propias operaciones, aun teniendo que hacer frente a si¬ 
tuations no previstas, resultado de la interaction con fuerzas 
contrarias. Pensar en clave adversarial, teniendo en cuenta 
las capacidades de un rival dado en un espacio y momento 


3 


Denominamos pensamiento adversarial al arte de tener en 
cuenta las capacidades del adversario a la hora de desple¬ 
gar una estrategia de seguridad. 
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concretos, impide que lo subestimemos, puesto que recrea el 
peor de los escenarios posibles para desplegar una defensa a 
la altura. O lo que es lo mismo: solamente habiendo valorado 
seriamente el talento del contrincante es cuando surge la po- 
sibilidad tactica de imponerse a el. «La invencibilidad es una 
cuestion de defensa», dice Sun Tzu 4 . 

Sea cual sea el instrumento, aplicacion o herramienta uti- 
lizada, el punto de vista operacional nos recuerda que su uso 
se despliega siempre dentro de una situation concreta que 
no se limita a ser un mero telon de fondo, sino que recu- 
bre necesariamente cualquier actuation: un pais autoritario 
con legislation hostil al derecho a la privacidad, una rueda 
de prensa con camaras capaces de grabar nuestra pantalla, un 
autobus con un companero de asiento pendiente de nuestras 
conversaciones... Corresponde a la vertiente operacional de 
la seguridad mostrarse esceptica ante la presunta infalibilidad 
de cualquier aplicacion, precisamente porque asume que la ri- 
queza de circunstancias que conforman el tejido de la realidad 
siempre acaba por superar todas las situaciones previstas de 
antemano por cualquier sistema de seguridad. 

Operacionalmente hablando, se le llama seguridad al arte 
de saber levantar defensas que puedan imponerse (aunque 
sea de manera temporal, si cumplen con su funcion de pro- 
tegernos durante el tiempo suficiente) a la realidad, con tal 
de proporcionar una relativa cobertura a las propias accio- 
nes, al tiempo que se intentan hacer infructuosas las posibles 
respuestas del adversario. «Los expertos en defensa se escon- 
den en las profundidades de la tierra [...J en situaciones de 
defensa, acallais las voces y borrais las huellas, escondidos 
como fantasmas y espiritus bajo tierra, invisibles para todo el 
mundo», se insiste en El arte de la guerra. 

Desde Criptica consideramos fundamental la formation 
en cuestiones basicas de seguridad operacional, incluso como 
fase previa al uso de herramientas de seguridad en la vida 
diaria. Sin saber desarrollar una lectura detallada de cada si- 


4 


Sun Tzu (544-496 a. C.), autor de El arte de la guerra, 
libro clasico de estrategia. 
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tuacion concreta, sin una vocation tactica que justifique el 
uso de cada herramienta utilizada, cualquier instrumento que 
incorporemos a nuestros protocolos de seguridad sera siem- 
pre una apuesta a lo desconocido. 

Seguridad instrumental 


Aplicaciones de mensajerfa, alternativas de almacena- 
miento seguras, sistemas operatives libres... La seguridad 
instrumental es el tipo de conocimiento que uno espera en- 
contrar tanto en los manuales como en los coloquios sobre 
seguridad informatica. Las razones de su preponderancia 
son multiples, pero seguramente se vinculen a una volun- 
tad de facilitar el proceso de aprendizaje, reduciendo una 
disciplina sumamente compleja a la utilization de una serie 
de aplicaciones o herramientas alternativas a las hegemoni- 
cas. Corresponde a la seguridad instrumental la dificil pero 
fundamental tarea de democratizar el acceso a la seguridad, 
desarrollando y transmitiendo herramientas que no requieran 
de un conocimiento tecnico avanzado para ser usadas. 

Sin duda, el gran triunfo de este discurso reside en haber 
conseguido generalizar el uso de aplicaciones de seguridad 
entre la gente no experta. Una nueva hornada de aplicaciones 
pensadas para ser seguras por defecto ha logrado hacer por 
fin socialmente atractiva la seguridad. El crecimiento ha sido 
exponencial desde entonces: en Estados Unidos, las descar- 
gas de Signal se duplicaron en el primer trimestre del 2017, 
coincidiendo con el initio del mandato de la administration 
Trump 5 . 

Como asociacion, nuestros valores nos han ayudado 
a sintetizar una serie de criterios a la hora de recomendar 
herramientas, que naturalmente tambien aplicaremos a las 


«Trump fears have helped double downloads for Signal, 
the private messaging app», Recode (4/4/2017): 
https://www.recode.net/2017/4/4/15124316/ameri- 
cans-privacy-signal-downloads-chart. 


5 



Introduction 


23 


recomendaciones del presente manual. Intentaremos mante- 
nernos fieles a ellos, siempre que esto no signifique para el 
usuario una perdida notable en terminos de usabilidad o que 
no existan opciones que los cumplan en su totalidad. El ob- 
jetivo de expandir numericamente el publico potencial de las 
aplicaciones de seguridad pasa por recomendar herramientas 
con un diseno accesible e intuitivo, aunque como grupo no 
nos satisfagan enteramente a nivel de arquitectura, ideologia 
o principios. La disposition a ser flexibles con los propios 
valores no implica claudicar, sino admitir la hipotesis de que 
es preferible una seguridad con impurezas a un concepto 
inmaculado de la misma pero inasumible por quienes no per- 
tenezcan a una elite de expertos. Cuando la rigidez de criterios 
impone tan elevado umbral que la mayoria de aplicaciones 
de seguridad no llegan a cumplirlos es que unos valores que 
debieran orientar la action la estan, por el contrario, dificul- 
tando o incluso impidiendo. 

Una vez admitida la flexibilidad como base de todas 
nuestras prescripciones, exponemos los cuatro criterios que 
justifican la election de las herramientas recomendadas a lo 
largo de esta guia (el orden de los mismos es puramente ar- 
bitrario): 

Seguridad por defecto. El mayor grado de seguridad debe 
ser el que la aplicacion ofrece por defecto. La seguridad 
no puede delegarse en configuraciones concretas o proce- 
dimientos suplementarios a la instalacion, tiene que estar 
garantizada de antemano con tal de que el error humano 
no pueda producirse. 

Cddigo abierto. Para mayor seguridad, el codigo fuen- 
te de la aplicacion debe estar publicamente disponible, 
permitiendo su revision por parte de la comunidad. Las 
aplicaciones privativas impiden verificar si su funcio- 
namiento real se corresponde de manera exacta con lo 
expuesto en su description. 
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Usabilidad. Si el diseno de la aplicacion no es facilmen- 
te comprensible por el usuario final (disponga o no de 
conocimientos tecnicos), su uso estara condenado a la 
marginalidad. Apostamos por herramientas intuitivas que 
faciliten la ya de por sf complicada tarea de la seguridad, 
no que la hagan todavfa mas diffcil. 

Descentralizacion. Que no delegue en un unico proveedor 
a la hora de ofrecer el servicio, puesto que esto situa a 
los usuarios en una position de desequilibrio al depender 
de una infraestructura ajena, que puede cesar el servicio 
arbitrariamente. 

Como venimos insistiendo, esta cadena de criterios no 
pasa de ser una mera declaration de intenciones que nos con¬ 
cede cierta inclination a la hora de seleccionar determinadas 
herramientas, no unas reglas inamovibles que debieran pre- 
valecer por encima de cualquier circunstancia. En la relation 
dialectica que existe entre unos principios inquebrantables y 
la flexibilidad operativa derivada de su relativizacion en el 
piano de lo real, nosotros tenemos claro por cual de las dos 
fuerzas tomamos partido, aun a riesgo de ver cuestionada 
nuestra fidelidad a unos principios supuestamente vehiculares 
de la comunidad hacker. 

Que este manual, consagrado al dispositivo hostil por ex- 
celencia para este tipo de circulos, sea una prueba viva de ello. 


A modo de advertencia 


La absoluta mayoria de quienes lean este manual nunca 
tendran entre sus adversarios a la NSA 6 , el GCHQ 7 u otras 
agendas de inteligenda. Semejantes actores cuentan, ademas, 
con unos recursos y capacidades que sobrepasan ampliamen- 
te las prescripciones del presente manual. Por consiguiente, 
no queremos que se delegue en esta guia si lo que se espera de 
ella son ensenanzas para imponerse a los grandes organismos 
del espionaje internacional. 

Creemos que, con tal de fomentar una cultura de la se- 
guridad efectiva, es preciso comenzar por lo estrictamente 
basico, sin ofuscarse en organismos cuyas capacidades nos 
exceden hasta extremos que desconocemos. 

He aqui, pues, nuestra humilde contribucion. 


6 NSA, National Security Agency: la Agencia de Seguridad 
de Estados Unidos. 

GCHQ, Government Communications Headquarters: la 
Agencia de Seguridad del Reino Unido. 
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SEGURIDAD 

OPERACIONAL: 

ADOPTAR UNA 
PERSPECTIVA ESTRATEGICA 



La mochila de datos 


Aunque tiene una historia corta, el smartphone ha desarro- 
llado rapidamente una relation centrfpeta con el conjunto de 
nuestras actividades cotidianas. Nada o casi nada permanece 
al margen de su presencia: en el dormitorio, en el bano, en la 
sala de espera, en el gimnasio o incluso en el tine. Cualquier 
momento es adecuado para la intervention de dicho disposi- 
tivo, ya sea para tomar una fotografia, realizar una consulta, 
escribir una anotacion o hacer una llamada. A finales del 
2016 , los telefonos inteligentes superaron a los ordenadores 
tradicionales como principal medio de navegacion 8 , un hito 
inconcebible una sola decada atras. 

A diferencia de los ordenadores de sobremesa, el smar¬ 
tphone nos acompana en todo momento. Y por una razon 
bastante sencilla, en realidad: su reducido tamano hace que 
toda la potencia del ordenador moderno quepa en nuestro 
bolsillo. Aun a riesgo de constatar lo que a todas luces pa- 
rece una evidencia, desde nuestra perspectiva sigue siendo 
relevante reiterar que esto dificulta la desconexion. Y es que 
mas alia de las consecuencias puramente sociales derivadas 
del uso intenso del smartphone (dependencia, distracciones, 
estres...), existen tambien riesgos de tipo operacional que 
pueden comprometer seriamente nuestra seguridad, respecto 
a los cuales no se ha escrito todavia lo suficiente. El primero 
es estar cargando a cada instante un archivo digital que abar- 
ca la practica totalidad de nuestras memorias recientes. 

El telefono inteligente tiende a concentrar cada vez mas 
funciones que habitualmente pertenetian al mundo «real», no 
conectado. Alii donde la humanidad desarrollaba tradicional- 
mente una actividad, ahora existe una aplicacion para llevarla 


8 «Mobile web usage overtakes desktop for first time», 

The Telegraph (1/11/2016): http://www.telegraph.co.uk/ 
technology/2016/11/01/mobile-web-usage-overtakes-desk- 
top-for-first-time. 
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a cabo de manera «mas eficiente», a traves del smartphone: 
WhatsApp, Wallapop, Uber, BlaBlaCar, Deliveroo, o incluso 
Tinder. Asimismo, las necesidades que antes sufragaban obje- 
tos de uso corriente como el mapa, la agenda, el bloc de notas, 
la camara fotografica, el boligrafo o el calendario (entre mu- 
chas otras) se delegan ahora en el terminal de bolsillo. Lo que 
se presenta como un solo objeto es en verdad el ensamblaje 
de muchos otros, de ahi el protagonismo del smartphone en 
cualquier circunstancia: ha asumido el rol de intermediario 
privilegiado entre nosotros y el mundo. 

La omnipresencia de cualquier objeto en las interacciones 
que hacemos con el entorno (como ocurre con el smartphone 
en la actualidad) introduce un escenario sumamente adverso 
para pensar la seguridad. Mientras que antes era imperativo 
intervenir ffsicamente los seis objetos mencionados (nece- 
sariamente «no conectados» a ninguna red y situados en 
ubicaciones indeterminadas) para obtener una imagen com- 
pleta del usuario, ahora basta con concentrar los ataques 
contra uno solo que reune toda la information, lo que lo con- 
vierte en el bianco ideal. 

El auge del telefono inteligente ha conllevado centralizar 
muchas funciones en un solo aparato, de modo que se ha 
acondicionado el terreno para un fallo total en caso de que 
el terminal deje de funcionar 9 . Hemos pasado a ser seres que 
cargan consigo una pesada mochila de la cual sin embargo 
no perciben el peso, lo que dificulta que se den cuenta de la 
gravedad del problema: la mochila de datos. Conviene que 
aligeremos peso lo antes posible, so pena de arrastrarnos con 
ella cuando la aventura se complique. 

Operacionalmente hablando, lo relevante del smartphone 
no es su dimension tecnologica, sino su uso social: se trata 
de un aparato que llevamos a todas partes con nosotros, que 
suele integrar todas las facetas de la persona (trabajo, amis- 
tades, habitos de consumo, actividad political, el cual sirve 


La verdad de esto solamente se muestra cuando lo perde- 
mos o se nos rompe: una buena parte de nuestras viven- 
cias en forma de fotografia o texto pasa a ser inaccesible. 
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como archivo de sus vivencias y que concentra gran parte (si 
no la totalidad) de su historial relational. A estas alturas, cual- 
quier adversario que merezca tal nombre sabe que basta con 
hacerse con el control del telefono del objetivo para acceder 
a un torrente de information relevante de modo inmediato. 
Irrumpir en un domicilio para colocar pequenos microfonos o 
localizadores es una practica que entrana riesgos innecesarios, 
sabiendo que el terminal de cada uno puede ser intervenido 
para que se comporte como un dispositivo espia. De lo que se 
tratara a partir de ahora es de hacerse con los instrumentos 
para ganar silenciosamente el control del dispositivo que al- 
macena toda la information relevante, de ahi que la respuesta 
tenga que pasar necesariamente por disminuir de manera 
selectiva el uso que se hace del smartphone, reduciendo la 
cantidad total de datos que contiene. Calendarizar borrados 
de memoria o dejar de depositar en el terminal information 
que consideremos critica son medidas orientadas a soportar 
esta pesada carga, sin llegar a suprimirla del todo. 

Consejos: 

Haz un inventario general de todas las cosas que lleuas 
en tu mocbila de datos (mensajes, fotografias, correos, 
registros de actividad, etcetera). Valora cuales de ellas te 
merecen la etiqueta de «sensible» (informaciones que de 
veras no quisieras ver comprometidas) para establecer 
prioridades a la hora de retirarlas del smartphone. 

Aligera peso. Probablemente delegues una cantidad excesi- 
va de informaciones en un unico aparato, lo que aumenta 
la probabilidad de ataques dirigidos. Realiza borrados 
periodicos, reduce el numero de aplicaciones que tengas 
instaladas e intenta vincular lo menos posible tu identidad 
online a un mismo terminal (por ejemplo, cuentas en redes 
sociales), con vistas a dificultar la obtencion de una ima- 
gen nitida de tu identidad real. 
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Ten en cuenta los riesgos. A pesar de todo, el smartphone 
carga siempre con cierta cantidad de informaciones. Va- 
lora lo que podria obtener un adversario que consiguiese 
acceso ffsico o remoto a tu dispositivo, con tal de reducir 
el botln que espera obtener de una intrusion exitosa. 

Identified las sitnaciones en las que la mochila es un 
obstaculo. Siguiendo la regia de oro, «no existe una in- 
formacion mejor protegida que aquella que no se llega a 
generar», debes desarrollar un arte de saber cuando no 
producir informacion alguna. 


Elaborar una rutina 
de combate 


El uso de las modernas tecnologias informacionales (te- 
lefonos inteligentes, tabletas, relojes...) conlleva que cada 
una de las interacciones que hacemos con ellas se traduzca 
en terminos de informacion, el unico lenguaje apto para la 
comprension computacional. Revisando estas grandes masas 
de datos, el ojo experto puede deducir patrones de uso, accion 
e interaction humanas, los cuales son unicos en cada persona. 

El smartphone es el maximo exponente de una relation 
con el mundo basada en la informatization de cada vez 
mas parcelas de la actividad humana, que ahora ha pasado 
a ser (aparentemente) compartimentalizable, cuantificable y 
administrable tecnicamente, conducida por la ciencia de la 
estadistica. Con la generalization de la informatica, un du- 
plicado virtual de nuestra existencia aspira a imponer su 
ley sobre nuestra presencia serena en el mundo, con toda su 
carga indomable. En tanto que sigamos preocupados por la 
seguridad, una desconfianza instintiva respecto a todas estas 
tecnologias deberia prevenirnos de cualquier encaprichamien- 
to de naturaleza cibernetica, que con toda probabilidad seria 
al precio de renunciar a cualquier actividad desarrollada al 
margen de los sistemas informaticos de control -lo que antes 
se llamaba «esfera privada»-. 

Cibernetica: como seres que habitamos el primer cuarto 
del siglo XXI, vivimos bajo su sello. La cibernetica, en calidad 
de disciplina que coloca la teoria de la informacion como mo- 
delo de organization social, equipara el funcionamiento de 
las sociedades humanas al del sistema nervioso; la cadencia 
de informaciones es constante dentro de una totalidad pre- 
supuesta de antemano, de forma que la accion de gobierno 
consiste en intervenir los flujos para pilotar sobre todas las 
situaciones que se puedan generar, anulando aquellos influ- 
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jos potencialmente destructives para el organismo. A pesar de 
sus connotaciones high tech , la cibernetica, -del griego kuber- 
nesis (« action de pilotar un barco»)-, acaba remitiendo a la 
action primera de todo gobierno: mantener el control sobre 
la nave contra todas aquellas fuerzas que pretenden hacerla 
naufragar. 

Atrapados como estamos en este nuevo paradigma, irre- 
mediablemente tenemos que aprender a movernos en un 
medio que nos es hostil. Se nos ha arrojado al tatami ciberne- 
tico sin recibir instruction previa, lo cual nos hace sumamente 
vulnerables frente a adversaries que son mas poderosos, mas 
perseverantes y mas experimentados de lo que somos noso- 
tros. A menos que aprendamos a combatir en estas dificiles 
circunstancias, nuestra derrota es inminente. Pero nunca es 
tarde para conocer las reglas del juego: partir de las propias 
limitaciones en una situation concreta es el requisito funda¬ 
mental para hacerse fuerte en ella. 

La seguridad no deberia considerarse una actividad es¬ 
pecial, separada del resto de acciones humanas. Tanta es la 
confusion existente, que se la ha presentado como un mo- 
mento aparte, cuando es justamente lo contrario: conforme 
la vayamos desdiferenciando e integrando en las facetas mas 
cotidianas de nuestra existencia, mas efectiva resultara. Un 
recurso tipicamente marcial, la rutina de combate, guarda un 
potencial inesperado al ser aplicado en el contexto de la se¬ 
guridad en las tecnologias de la information. La idea de la 
rutina consiste en reproducir condiciones similares a las de la 
lucha, pero sin riesgo de danos para la persona, en un espacio 
no hostil para ella. El resultado es la interiorizacion de estra- 
tegias de respuesta que solamente se ganan en circunstancias 
parecidas a las del combate -el desarrollo de una atencion es¬ 
pecial sobre los detalles, que es lo que caracteriza al guerrero 
experimentado-. 

El objetivo de toda rutina es ganar una inteligencia de la 
situation, volverla legible a ojos del individuo familiarizado 
con ella, aunque sea por repetition, con tal de saber moverse 
en su seno (los simulacros de incendio o terremoto obedecen 
a esta misma logica). Le da instrumentos para densificar su 
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presencia en ella, que le sirven para dejar de ser pasivamente 
conducido aun sin poder llegar a sustraerse del todo de sus 
circunstancias inmediatas. Una rutina de preparation para el 
combate, igual en el boxeo que en la cibernetica, exige cono- 
cer cuales son los golpes que podrfan ser ejecutados contra el 
pugil en un momento dado, de forma que sepa resistirlos cada 
vez mejor. 

La seguridad ha sido siempre un oficio sin brillo; sola- 
mente se percibe como ausencia cuando un golpe consigue 
atravesar una defensa que hasta entonces creiamos solida. 
La estricta negatividad de la disciplina halla sin embargo su 
fundamento positivo al confrontarse con la estrategia del ad- 
versario: la seguridad nunca ha sido otra cosa que el penoso 
arte de saber encajar los golpes, con vistas a que ninguno de 
ellos pueda llegar a inducirnos un dano critico. Es el pen- 
samiento del repliegue en tanto que repliegue, un saber a la 
defensiva que puede ser determinante si nuestros movimientos 
consiguen volver ineficaces las arremetidas del contrincante. 

Sabemos que ninguna rutina de combate es exactamente 
igual a otra: depende del tipo de arte marcial practicado (que 
delimita los golpes permitidos) y de las caracteristicas del ad- 
versario (capacidades, psicologia, instrumentos a su alcance, 
tamano, peso, etcetera). Por ello, aunque pudieramos circuns- 
cribir los saberes de este manual dentro del cajon de sastre de 
la «seguridad informatica» (lo cual es dudoso), seguirfamos 
sin tener una imagen completa de cada uno de los posibles 
adversarios, los cuales varian enormemente segun el pais o la 
position social, entre otros muchos factores. Como instruc- 
tores en la materia, pretender sintetizar en una sola rutina la 
infinidad de variables ante las cuales la comunidad de lectores 
se pueda encontrar es irreal en la misma medida que irrespon- 
sable. Optaremos en su lugar por ofrecer seis pautas generates 
para la elaboration de una rutina informacional propia, que 
consideramos necesaria al margen del modelo de amenaza. 

La rutina es un ejercicio diario. Los saberes que derivan 

de ella son en gran medida fruto de la cotidianidad exis¬ 
tential, de manera que solamente llegaremos a desarrollar 
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cierta seguridad si la concebimos no como un momento 
separado del resto de nuestra actividad general, sino como 
un proceso incorporado a cada una de las interacciones 
que realizamos con las tecnologias de la information. 

Toda rutina es gradual. Empezar por lo minimo para ir 
subiendo el nivel de exigencia gradualmente, conforme se 
dominen las tecnicas basicas. No intentar incorporar he- 
rramientas o protocolos de seguridad que no se puedan 
integrar rapidamente en nuestra experiencia cotidiana, so 
pena de no saber usarlas o de perder usabilidad. 

La rutina solamente es efectiva si cansa pero no extenua. 
Buscar constantemente el punto medio existente entre la 
comodidad derivada de la usabilidad total (que no supone 
esfuerzo alguno) y la perseverancia por mejorar nuestra 
seguridad de man era continuada (sin llegar al sobresfuer- 
zo, que resulta perjudicial para un ejercicio prolongado). 

Mantener la rutina al dta. El grado de efectividad real de 
cualquier rutina depende de las ultimas tendencias en ma¬ 
teria ofensiva. Estar al corriente de las practicas en boga 
del adversario, incorporando constantemente nuevas tec¬ 
nicas de seguridad para contrarrestarlas en la medida de 
lo posible. 

Dominar la rutina no significa ganar el combate. Confiar 
en que un aprendizaje intensificado de todas las tecnicas 
de seguridad te hace invulnerable en la lucha es un error 
que se remonta a los tiempos de Sun Tzu. El aprendizaje 
a nivel protocolario no garantiza que se sepa reaccionar a 
tiempo en un caso real, aunque contribuya a ello de ma- 
nera crucial. 

Convierte tu rutina personal en un ejercicio colectivo. La 
vertiente social de las tecnologias de la information con- 
lleva que fragmentos de nuestra identidad se transmitan a 
los dispositivos ajenos. Contribuir a que tu tirculo tarn- 
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bien implemente protocolos de seguridad para no quedar 
expuesto en caso de que un dispositivo de tu entorno sea 
comprometido. 

Consejos: 

ha seguridad operational es una rutina. Debes entrenarte... 

Diariamente: integra la rutina en tu dia a dia. 

Gradualmente : empieza por lo basico y hazla crecer. 

Eficientemente-. no desdenes la seguridad ni la comodidad, 
ambas son necesarias para una rutina eficaz. 

De forma actualizada : informate de las ultimas tendencias 
de ataque que puedan afectarte, con tal de actualizar tu 
rutina para enfrentarte a ellas. 

Consciente de los Umites : no hay garantias de que tu 
rutina te haga invulnerable, sea cual sea su grado de com- 
plejidad. 

Colectivamente: transmite tus practicas a tus circulos, 
protegeos los unos a los otros. 



El fin del anonimato 


«Cuando esta persona se desvanezca entre la mul- 
titud, si se su nombre, sere capaz de encontrarla de 
nuevo. Inversamente, saber un nombre me permite 
consultar un registro central, en el que encontrare 
una description de la persona correspondiente [...J. 
Ser capaz de reconocer a alguien equivale a ser capaz 
de encontrarle de nuevo: una vez te haya reconocido, 
ya no te me podras escapar» 10 . 

La telefonia inteligente introduce una paradoja singular 
desde la perspectiva de la seguridad: por un lado, tenemos 
que concederle a la industria el merito que supone haber 
conseguido desarrollar dispositivos moviles notablemente se- 
guros; por otro, observamos que en este proceso nos hemos 
ido desprendiendo gradualmente de la posibilidad de un uso 
anonimo, hasta casi desaparecer. 

La relation que se desarrolla habitualmente con el 
smartphone parece refractaria al anonimato: la condition 
«personal» de un dispositivo se obtiene a cambio de que 
todos los datos que contiene correspondan a la vida de una 
unica persona, de forma que acceder a la information alma- 
cenada en el telefono tambien significa obtener una imagen 
integral de la vida de su poseedor * 11 . Haber dejado de utilizar 
dispositivos compartidos probablemente favorezca la seguri¬ 
dad al ganar un control total sobre aplicaciones y procesos, 


10 Gregoire Chamayou y Kieran Aarons (2013): «Fichte’s 
Passport - A Philosophy of the Police», Theory & Event, 
num. 16 [2J. 

11 Tanto es asi, que el censo espanol del 2021 preve utili¬ 
zar la information de las antenas de telefonia para saber 
cuales son los desplazamientos habituales del conjunto 
de la poblacion, suprimiendo la necesidad de cuestiona- 
rios. «Las operadoras seguiran el rastro de tu movil para 
alimentar el censo del 2021», El Diario (10/3/2016). 
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pero anula la posibilidad de un acceso anonimo, lo cual puede 
abrir nuevos vectores de ataque que se derivan, precisamente, 
del caracter «personal» de los aparatos. 

El anonimato, como necesidad distinta de la seguridad o la 
privacidad, ha sido un recurso necesario en un buen numero 
de ocasiones historicas, actuando como medida de preven¬ 
tion para limitar la superficie de ataque del adversario: sabido 
es que no puedes golpear aquello que no puedes ver. Lo ilus- 
tran a la perfection las filtraciones de Edward Snowden, que 
tuvo que mantener su identidad real en secreto para estable- 
cer contacto con la prensa sin llamar la atencion de la NSA 
americana. La estrategia del anonimato pasa por confundir el 
propio rastro en un conjunto mas amplio de personas o infor- 
maciones, lo que obliga a multiplicar los esfuerzos necesarios 
para localizar al objetivo. Mas que «seguridad», el anonimato 
ofrece una protection similar a la del camuflaje, puesto que 
sirve para alargar la fase de identification previa al ataque -lo 
que ralentiza las operaciones de un adversario que apuntara 
a un objetivo concreto-. Por contra, el aparentemente inocuo 
«ser visible» facilita las acciones que se quieran emprender 
contra la persona o su entorno, porque revela los posibles 
puntos donde es vulnerable. 

Si bien existen un buen numero de iniciativas que aspiran, 
en terminos generales, a mejorar la seguridad y la privaci¬ 
dad del usuario (esta misma guia, por ejemplo), tambien es 
cierto que en la mayor parte de ellas el anonimato ha dejado 
de jugar un papel importante. Como se entiende que nuestro 
acceso a la information se practica siempre desde los mismos 
dispositivos, el desafio se limitaria a protegerlos contra las 
intrusiones de terceros. Dicho esquema descarta de antemano 
el tipo de protection concedido por el anonimato, un error 
fatal que deja desatendidos los modelos de amenaza en los 
que la identification es ya una derrota, como es el caso de los 
whistleblowers u . 


12 


Whistleblower: filtrador de information, habitualmente 
para llamar la atencion acerca de una irregularidad. 
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La funcion de la seguridad, dijimos en la introduced on, es 
la de ser una ultima barrera cuando nuestro adversario ya ha 
descubierto nuestra identidad. Es decir, que idealmente de- 
beriamos recurrir a ella como ultimo recurso, cuando todo 
lo demas falla. Conocer nuestro nombre, los dispositivos o 
sistemas operativos que utilizamos son informaciones funda- 
mentales para que el adversario pueda no solamente elegir sus 
ataques, sino llevar a cabo la seleccion segun la probabilidad 
de que sean exitosos. «Nunca hables de tu configuracion de 
seguridad» es de ese tipo de reglas que nunca debemos dejar 
de lado, precisamente porque al hacerla publica comprometes 
cada una de las piezas que la conforman. Dejar ver las suti- 
lezas de un sistema de seguridad, o dejarnos ver a nosotros 
mismos como parte integrante del conjunto, precipita una 
situacion de desequilibrio que un adversario experimentado 
puede aprovechar para imponerse. 

Cuando rehuimos la confrontacion en vez de asumirla 
como algo inevitable, es cuando nos damos cuenta tanto de 
la necesidad del anonimato como de su escasez en el modelo 
de sociedad instaurado por la cibernetica. «E1 guerrero sabio 
evita el combate», dice Sun Tzu. Pero para hacerlo necesita 
dominar el fino arte del camuflaje, de la confusion, los cuales 
son valores que cotizan a la baja en un contexto saturado por 
dispositivos «personales», asociados a la vida de una persona 
en singular. 

Consejos: 

Toda la information almacenada en tn smartphone es in¬ 
formation personal. Tu situacion particular es unica, lo 
que comporta que las informaciones depositadas en tu 
smartphone lo sean tambien. Si quieres desvincular una 
determinada actividad de tu identidad real, lo mas aconse- 
jable es que mantengas bien al margen tu telefono. 

Difculta la labor de identification. Aun a riesgo de no ser 
suficiente, la unica precaria forma que tenemos de pro- 
porcionar cierto grado de anonimato a las actividades del 
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telefono personal es usando redes anonimizadoras como 
Tor o una VPN, o en su defecto aplicaciones expresamente 
pensadas para proteger este aspecto de la privacidad. 


Seguridad en grupos 


Cuando pensamos en medidas concretas para proteger 
nuestro dispositivo de intromisiones no deseadas, lo hace- 
mos orientados a minimizar el total de ataques al alcance de 
nuestro adversario, asi como restarle eficacia a aquellos que 
no podamos evitar. Toda mejora real en materia de seguridad 
pasa por limitar la superficie de ataque del rival, por hacer 
infructuosa su estrategia anulando la ventaja que espera obte- 
ner de los golpes dirigidos en contra nuestra. 

El uso de dispositivos conectados a una red mundial 
implica que, en terminos adversariales, nos veamos repentina- 
mente arrojados a un combate asimetrico contra organismos 
de fuerza sumamente dispar, que van del ciberdelincuente de 
poca monta a la misma NSA, sin que podamos determinar 
cuando nos situaran bajo su radar. «Presa» no es un predi- 
cado que se asuma libremente por el sujeto perseguido. Por 
el contrario, es un atributo impuesto a la fuerza por el poder 
que busca darle caza. 

Un criptografo honesto afirmaba recientemente que 
«en la actualidad, la seguridad informatica consiste funda- 
mentalmente en resistir ataques. Todavia no sabemos como 
prevenirlos en su totalidad» 13 . Como no podremos decidir 
sobre las acciones del rival, solamente nos queda saber an- 
ticiparlas, perfeccionando nuestra guardia hasta dominar el 
penoso arte de saber recibir los golpes, con tal de que nin- 
guno de ellos sea capaz de inducirnos un dano critico. «Para 
poder anticipar las reacciones de sus perseguidores, el hombre 
capturado debe aprender a leer sus propias acciones a tra- 
ves de la mirada de su depredador» 14 . Y es que, aunque los 


13 Matthew Green: «Secure computing for journalists*, A 
Few Thoughts on Cryptographic Engineering (5/3/2017): 
https://blog.cryptographyengineering.com/2017/03/05/ 
secure-computing-for-journalists. 

Gregoire Chamayou (2012): Las cazas del hombre. Errata 
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esfuerzos que dediquemos a defendernos puedan llegar a no 
ser suficientes como para aguantar frente a adversaries per- 
severantes, habremos dificultado su tarea de manera notable. 
Incluso acorralados, no tenemos que renunciar nunca a pen- 
sar estrategicamente. 

Mejorar la resiliencia 15 de nuestro smartphone contra di- 
chos ataques es el horizonte generico al cual debemos apuntar, 
aunque esto sea solamente un primer paso todavia insuficien- 
te para afrontar seriamente la cuestion. El telefono inteligente 
cumple en primer lugar una funcion social de intercambio 
permanente de informaciones con nuestros contactos, lo cual 
supone un riesgo operacional anadido: al comunicarnos, 
transmitimos una parte de nuestra informacion personal al 
dispositivo de nuestro interlocutor, sobre el cual es poco pro¬ 
bable que tengamos el mismo grado de control que sobre el 
nuestro propio. 

Aunque la analogia del combate introduzca algunas bue- 
nas intuiciones del pensamiento adversarial, la imagen de 
dos unicos combatientes en un espacio cerrado pertenece 
por completo a otro tiempo. Un adversario rmnimamente ex- 
perimentado se aprovecha de la vertiente social de todo ser 
humano para conseguir sus objetivos. Fragmentos de nues¬ 
tra identidad, como fotografias y mensajes de voz o de texto, 
permanecen dispersos en terminales ajenos, algunos incluso 
en manos de completos desconocidos (por no hablar de las 
copias de seguridad en la nube -entendiendo por «nube» los 
servidores de Google u otro proveedor-). Seleccionando los 
fragmentos apropiados, es probable que un adversario con 
capacidades notables pueda obtener la misma informacion 
que buscaba en un principio sin tener siquiera que ir al en- 
cuentro del objetivo original, en el caso de que este se revelara 
demasiado resiliente. Asi, nuestra meticulosa guardia puede 
romperse en mil pedazos en caso de que el adversario sepa 


Naturae, Madrid. 

La resiliencia, definida por la Real Academia Espanola, 
es la capacidad de adaptacion de un ser vivo frente a un 
agente perturbador o un estado o situacion adversos. 
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buscar objetivos alternativos para imponerse, usando nuestro 
mapa de relaciones como medio para acceder a nosotros. 

La informacion, «el ‘recurso’ mas manipulable y almace- 
nable que ha formulado el ser humano* 16 , arrastra consigo 
un doble filo sumamente peligroso: que, si bien es facil de 
transmitir a todo tipo de dispositivos adaptados, es igualmen- 
te un recurso sumamente dificil de eliminar del todo. Desde 
el momento en que transmitimos (nosotros o un intruso) al- 
guna clase de informacion a otro dispositivo o directamente 
la subimos a Internet, su distribucion queda fuera de nuestro 
control, independientemente de nuestra voluntad o de que 
borremos la copia guardada localmente en nuestro terminal. 
Si algo demuestran incontables efectos Streisand 17 es la impo- 
sibilidad material de acallar todo el ruido informacional en 
un contexto completamente saturado por dispositivos conec- 
tados. 

Como seres humanos, tendemos a formar grupos de toda 
clase (formales o informales, permanentes o temporales, ce- 
rrados o abiertos, estrictamente «politicos» o no...). Cada 
tipo de asociacion cuenta evidentemente con unos riesgos 
intrinsecos que, por cuestiones de espacio, no entraremos a 
detallar. Optaremos mejor por senalar una serie de caracte- 
risticas generales de la sociologia de grupos, que apuntan a 
riesgos que se repiten necesariamente en todos ellos. 

La accesibilidad a la informacion suele ser una condicion 
indispensable para el correcto funcionamiento de una orga- 
nizacion (mensajeria instantanea, correos, credenciales de 
acceso a determinadas cuentas, etc.). No obstante, si la infor¬ 
macion facilita la coordination, solamente lo hace a cambio 


16 G. R. Alonso (2016): Heidegger ante el PC: La filosofia de 
la tecnica de Heidegger y las nuevas tecnologlas, p. 62. 

17 «El efecto Streisand es el fenomeno por el cual un intento 
de remover o censurar un contenido determinado tiene 
como consecuencia la difusion mucho mas amplia de 
esa informacion*, en «E1 efecto Streisand, o por que es 
tan dificil censurar contenido en Internet*, Hipertextual 
(5/2/2016): https://hipertextual.com/2016/02/efecto-strei- 
sand-censura. 



4 6 


Resistencia digital \ Cri'ptica 


de poder replicarse de igual forma en todos los dispositivos 
integrados, lo que significa que basta con intervenir uno solo 18 
para tener acceso a todo. Cada nuevo terminal que se incor¬ 
pora al ecosistema informacional del grupo le proporciona 
al adversario un frente de ataque adicional. Pensemos en un 
grupo de Signal o en una lista de correo: cada uno de los 
miembros tiene acceso constante a la totalidad de las inte- 
racciones publicadas, indistintamente de ser o no el autor del 
mensaje. Si lo que interesa es hacerse con el contenido que 
se publica dentro del grupo, el repertorio de ataques es tan 
variado como dispositivos conectados al ecosistema existan. 
Y confiar en los dispositivos (atribuirles el calificativo de «se- 
guros») no deja de ser una quimera si no es posible confiar 
antes en sus duenos: la criptograffa no protege de los ataques 
de ingenierfa social, contra los que nadie (mucho menos un 
grupo) es invulnerable del todo. La falta de compromiso con 
la integridad del ecosistema de informaciones (sea por simple 
dejadez, sea por tener al enemigo en casa) amenaza con hacer 
soluble hasta la mejor arquitectura de seguridad. 

Afrontar el desafio planteado por la seguridad en los 
grupos implica necesariamente establecer una especie de 
«acuerdo de rmnimos» al respecto, que garantice cierto nivel 
de seguridad en el ecosistema informacional de la organiza¬ 
tion. «Un sistema de seguridad es tan seguro como el menos 
seguro de sus elementos» sigue siendo en este caso una regia 
de oro 19 . Decidir cual es el umbral minimo queda en manos 
de cada grupo, siempre teniendo en cuenta que cuanto mas 
exigente sea este, mayores seran los problemas relacionados 
con la exclusion, tanto de personas como de aparatos (dispo¬ 
sitivos obsoletos incapaces de asumir el minimo, dificultad 


18 Presumiblemente, el «eslabon mas debil», un terminal con 
el sistema operativo desactualizado o con vulnerabilidades 
conocidas, por ejemplo. 

19 La respuesta individual al problema no deja de ser una 
huida hacia delante cuando los otros miembros no dispo- 
nen de un nivel de protection similar o no tienen el mismo 
cuidado transmitiendo information. 
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de cumplir con todos los compromises, desconocimiento tec- 
nico...). Medidas altamente efectivas, como son habilitar el 
cifrado de dispositivo o tener el sistema operativo actualiza- 
do, son directamente incompatibles con terminales viejos, lo 
cual alimenta por otro lado el preocupante ciclo de la obso- 
lescencia tecnologica. 

Hasta ahora, los grupos han priorizado el acceso general 
por encima de la seguridad, lo cual ha ido logicamente en 
detrimento de la segunda. Por contra, pasar a centrarse en la 
seguridad no es sin embargo una solution realista para la ma- 
yorfa de organizaciones, vistos no solamente los problemas 
de exclusion, sino tambien la presumible ralentizacion de los 
procesos de coordination. Pero deberfamos poder establecer 
un umbral minimo mas alia de los grupos de WhatsApp o 
del almacenamiento en la nube de Dropbox. Urge dar con 
este punto medio en el que la accesibilidad no sea a costa de 
renunciar a toda seguridad, si es que eso es posible. 

Consejos: 

No dejes ninguna puerta abierta. Por cada aparato conec- 
tado al ecosistema del grupo que no tenga una contrasena 
de acceso (pero que tiene acceso a la mensajeria o a otro 
tipo de informaciones), se genera el mismo numero de 
«agujeros negros» de seguridad que bien podrfan hacer 
inutiles todos los demas esfuerzos por mantener cierto 
nivel de protection. 

No seas el eslabon mas debil. Cuando tu dispositivo no 
es seguro, ensanchas la superficie de los ataques dirigi- 
dos no solamente contra tu persona, sino tambien contra 
tu entorno social. Protege tu smartphone adecuadamente 
frente a accesos no deseados, actualiza el sistema operati¬ 
vo siempre que se te ofrezca la option, ten una contrasena 
de acceso segura y, en caso de usar Android, cifra tanto la 
tarjeta SD como la memoria interna del telefono (si fueras 
usuario de iOS, este ultimo procedimiento no es necesario, 
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ya que todos los iPhones a partir del 5S tienen habilitado 
el cifrado por defecto). 

Nunca dejes de lado la seguridad. Sabido es que no toda la 
information que genera un grupo es de dominio publico. 
Indiferentemente del punto en el que se situe el umbral de 
acceso a la information por parte de terceros (sea alto o 
sea bajo), asegurate de que exista un compromiso colec- 
tivo por mantener a salvo la information calificada como 
«privada». 

Aunque incluso un paranoico tenga enemigos reales, no 
caigas en la paranoia. Pretender estar a salvo de la NSA o 
del GCHQ es incompatible con llevar una vida «corrien- 
te», usando a diario dispositivos conectados a Internet. 
Mejor desplegar una defensa eficaz a la hora de anular las 
capacidades de adversarios reales, que de verdad ambicio- 
nan hacerse con la information interna del grupo. 

Incrementar injustificadamente el umbral de la seguridad 
exigida no hace a una organizacion mas segura; por el 
contrario, hace que el error humano sea mas probable. 
Conforme los protocolos de seguridad del grupo ganan 
en complejidad, su cumplimiento estricto se hace menos 
probable, especialmente en tirculos no experimentados. 

No seas un bocazas. La seguridad en los grupos es el re- 
sultado de la suma de compromisos individuales por no 
exponer la privacidad de los demas miembros. Manten- 
te alerta contra posibles ataques de ingenieria social, los 
cuales podrian comprometer parcelas de seguridad del co- 
lectivo. Nunca hables mas de la cuenta en lo que respecta 
a los asuntos del grupo -una boca demasiado grande bien 
podria estar allanando el camino al adversario-. 


El olvido del mundo 


Los formadores en materia de seguridad solemos adop- 
tar una postura en buena parte instrumental («utiliza tal 
herramienta en vez de tal otra») porque resulta sencilla de 
hacer entender a la gente de a pie. La experiencia nos dice 
que lo mejor es empezar presentando una imagen no dema- 
siado compleja de la seguridad, reduciendo deliberadamente 
el espectro al uso de herramientas alternativas o proveedores 
seguros. Signal en vez de WhatsApp, ProtonMail en lugar de 
Gmail. Con el discurso instrumental pretendemos transmitir 
la idea de que cualquiera que utilice las herramientas apropia- 
das puede ver mejorada notablemente su seguridad, lo cual es 
en general correcto. Cuidar las aplicaciones que se instalan, 
actualizarlas a menudo, administrar bien los permisos. En eso 
consiste la seguridad movil, a fin de cuentas. 

El discurso instrumental es popular porque es accesible a 
todos. Su triunfo consiste en dejar de demandar un conoci- 
miento experto para disponer de una buena seguridad; basta 
con estar usando las herramientas adecuadas, las cuales nos 
inmunizan contra sucesos inesperados: los peligros existentes 
pueden atajarse en gran medida cuando tomamos el control 
sobre nuestro dispositivo, tomando decisiones sobre la con- 
figuracion de privacidad, instalando solamente aplicaciones 
de confianza o formulando un complicado codigo de desblo- 
queo. Sin embargo, algo fundamental queda suprimido en 
esta forma de afrontar la cuestion, condenando al discurso 
instrumental a ser siempre limitado, insuficiente, parcial: que 
el mundo exterior, el entorno circundante que nos acompana 
siempre al utilizar cualquier tipo de dispositivo, queda fuera 
de nuestro ambito de actuacion, de forma que deja de pensar- 
se en clave adversarial. 

Cometemos un error estrategico cuando no prestamos 
la suficiente atencion a la materialidad que nos rodea, sobre 
la cual es evidente que no gozamos del mismo grado de in- 
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tervencion que sobre nuestros aparatos. Interaccionar con el 
mundo desplaza al usuario de su position hegemonica en lo 
que se refiere al diseno de su sistema de seguridad, puesto que 
el deja de ser el factor determinante capaz de conducir todas 
las situaciones. Cada situation se encuentra atravesada por 
infinitas variables que no pueden decidirse de antemano, de 
modo que deja de ser presumible que el usuario pueda pre- 
verlas con vistas a obtener siempre el mejor beneficio para su 
seguridad. Es cuando lo imprevisto entra en escena que las 
cosas pasan a un nuevo piano de complejidad: independien- 
temente de nuestros conocimientos en materia de seguridad, 
nunca podremos seleccionar el tipo de ataque que queremos 
que nuestro adversario ejecute contra nosotros, ni tampoco 
el momento (probablemente porque eso lo anularia como 
adversario). El mundo exterior hace imposible el estado de 
seguridad absoluta, que solamente puede recrearse artificial- 
mente en el laboratorio de lo instrumental. 

Por complejo que pueda llegar a ser, todo sistema de se¬ 
guridad es una precaria estructura flotante en el mar de la 
incertidumbre, navegando sin rumbo en una realidad que 
siempre lo acaba superando. Ya sea por el contexto politico o 
legal, por las personas encargadas de administrarlo o por las 
capacidades ofensivas del adversario, nunca dejaremos de en- 
frentarnos a torsiones no esperadas del movimiento original, 
el cual se corresponde con nuestro estado ideal de seguridad. 
Eln simple descuido al escribir el codigo de desbloqueo es 
capaz de echar por tierra toda nuestra sofisticada arquitectura 
de seguridad, mientras que la mala suerte puede convertirnos 
en candidatos a un serio interrogatorio en el que acabemos 
entregando nuestras claves e information. 

Con esto venimos a decir que, como formadores, el discur- 
so instrumental no es suficiente. Que la recreation de parcelas 
virtuales aparentemente «seguras», desprendidas por com¬ 
plete de nuestra realidad material, es un proyecto abocado 
al fracaso. La critica que se le suele dirigir a los sistemas de 
seguridad basados en la biometria 20 es en realidad igualmen- 


20 


La biometria es la disciplina encargada del estudio de las 
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te aplicable a la mirada instrumental: que solamente pueden 
atribuirse el calificativo de «seguros» a cambio de pecar del 
olvido de su realidad ffsica. Que tu huella dactilar sea la unica 
Have para desbloquear tu telefono es en efecto la medida de 
protection mas segura... unicamente en un mundo en el cual 
nadie pueda forzarte ffsicamente a introducirla, aun sin tu 
consentimiento. Es decir, una situacion ideal que no puede 
existir, puesto que solo se puede dar en caso de suprimir ffsi¬ 
camente cualquier contacto humano. Lo mismo sucede con la 
perspectiva instrumental: solamente podrfamos llegar a con- 
vencernos de su efectividad real a cambio de asumir el ideal 
cibernetico de un espacio en el cual tenemos el lujo de decidir 
in vitro sobre cada uno de los procesos, es decir, eliminando 
de nuestro esquema la persistente irreductibilidad del mundo 
exterior, que no se deja dominar. 

Consejos: 

Aspira a desarrollar una inteligencia de la situacion. El 
grado de efectividad real de cualquier sistema de seguridad 
depende de tu propia capacidad de hacer frente a situacio- 
nes no previstas de antemano. Ten una cautela adicional 
cuando utilices el telefono en espacios publicos o lugares 
con una gran afluencia de personas, especialmente cuando 
vayas a desbloquearlo, intercambies mensajerfa o intro- 
duzcas contrasenas. Disminuir el brillo en este tipo de 
situaciones es una buena medida de prevention. 

Relativiza tu propia arquitectura de seguridad. La segu¬ 
ridad de un smartphone es sumamente volatil, dado que 
en nuestro dfa a dfa existen situaciones inesperadas en las 
que todas las medidas preventivas pueden acabar siendo 
in utiles (sustraccion del dispositivo desbloqueado, perdi- 
da, ingenierfa social, que tu adversario descubra el patron 
de desbloqueo o te fuerce ffsicamente a introducirlo...). 
Conviene alejarse de un optimismo excesivo en lo que 


propiedades corporales unicas de los seres biologicos. 
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respecta a la supuesta condicion de impenetrabilidad de 
cualquier aparato que llevemos con nosotros de manera 
diaria. Y la mejor forma de prevenirse de ello es delegando 
la menor informacion posible en el telefono. 

Desconfia del discurso instrumental puro. A menudo, el 
discurso instrumental tiende a minusvalorar los aspectos 
sociales de la seguridad, lo que conlleva un serio riesgo 
anadido cuando se trata de dispositivos moviles (mas pro- 
clives a situaciones imprevistas por su condicion portatil). 
Las mejores herramientas son necesarias para una buena 
seguridad, pero por si solas nunca han bastado para con- 
seguirla. 


DELA 

SEGURIDAD OPERACIONAL 

ALA 

SEGURIDAD INSTRUMENTAL: 


CONSEJOS GENERALES 



Una vez introducidos los principios de seguridad ope- 
racional, es hora de adentrarse en la parte instrumental, 
entendiendo las distintas amenazas que se ciernen sobre nues- 
tro dispositivo y la informacion que contiene. En este capitulo 
hablaremos brevemente sobre la tecnologia de telefonia movil 
y lo que implica, trataremos medidas de mitigacion de ad¬ 
versaries que pueden acceder fisica o remotamente a nuestro 
terminal e introduciremos conceptos basicos de privacidad en 
nuestros smartphones, desde el control de permisos de aplica- 
ciones hasta las redes sociales. 


Breve introduction a la red telefonica 

El uso de un smartphone conlleva, consecuentemente, el 
uso de la red de telefonia movil. Esta red es la que nos permite 
realizar y recibir llamadas, enviar y recibir SMS, y mas recien- 
temente, acceder a Internet. 

Para poder entender las amenazas y los riesgos que supone 
el uso de un smartphone, es imprescindible conocer algunos 
conceptos basicos de esta tecnologia, y las consecuencias in- 
herentes a su uso. 

Una de las primeras cosas que debemos saber es que el uso 
de las funciones de telefonia de nuestro telefono (llamadas, 
SMS y «datos») implica que un telefono movil, y por ende la 
persona que va con el, debe estar permanentemente localiza- 
do por su proveedor de telefonia (Movistar, Vodafone, etc.). 

Esto se debe al diseno de la propia tecnologia de telefonia 
movil, que se compone de antenas (o «torres») repartidas por 
toda la geografia a las que nuestros moviles se conectan para 
comunicarse los unos con los otros. 
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No sera algo nuevo para la persona que lea este libro el 
hecho de que para poder realizar una llamada de calidad, por 
ejemplo, es necesario «tener buena cobertura». Dicha cober- 
tura es precisamente la calidad de la conexion del movil con 
una antena de telefonia. 

Para poder enrutar 21 las llamadas, mensajes y paquetes de 
datos hacia los moviles, la compama telefonica debe saber en 
todo momento a que antena esta conectado el telefono, o no 
sabria como hacer llegar esta information a los terminales. 

Por este sencillo motivo, el uso de un terminal movil, 
independientemente de si es smartphone o no, conlleva la mo- 
nitorizacion de la localization fisica aproximada por parte del 
proveedor y de aquellos terceros a los que dicho proveedor 
proporcione acceso. 

Esta circunstancia debe evaluarse tambien desde un punto 
de vista colectivo. Se puede deducir que dos o mas personas 
se desplazan juntas si sus telefonos se van conectando a las 
mismas antenas al mismo tiempo a medida que se mueven. 

Ademas de tenerte permanentemente geolocalizado, tu 
compama telefonica tiene acceso al contenido y metadatos de 
tus SMS y llamadas, asi como a algunas partes de tu navega- 
cion web, como que sitios visitas, cuando y desde donde. 

Existen algunas publicaciones muy representativas de esta 
intromision en nuestra vida privada, intrinseca al diseno de 
la tecnologia movil. Una de ellas, realizada por Make Spitz, 
eurodiputado del partido verde europeo, publico los datos re- 
copilados por su operador de telefonia durante seis meses del 
2009. La representation visual del trabajo de Spitz es un muy 
buen ejemplo de como estos datos son recopilados de todos 
los usuarios de forma silenciosa 22 . 

Llevar un telefono movil en el bolsillo, sea cual sea el mo- 
delo, conlleva una situation de rastreo permanente, que todo 
el que se preocupe por su privacidad deberia tener en cuenta. 


21 Enrutar: calcular el camino que debe realizar la informa¬ 
tion que viaja de un terminal a otro. 

22 La publication puede ser consultada en: https://www.zeit. 
de/datenschutz/malte-spitz-data-retention. 
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Esta parte comprende un conjunto de medidas que tie- 
nen un unico objetivo: garantizar en la mayor medida posible 
que la information y las funcionalidades de tu smartphone no 
sean accesibles a terceros, en el caso de que se hallara fisica- 
mente en su poder. 

Para ello deberemos entender cuales son los ataques que 
se pueden realizar sobre nuestro terminal cuando esta en las 
manos de otra persona y que configuraciones podemos apli- 
car para mitigar dichos accesos ilegitimos. 

Desbloqueo seguro 

Existen diversas maneras de proteger el desbloqueo de 
nuestro telefono: patrones, pines, contrasenas y, en los ulti- 
mos anos, incluso medidas biometricas. 

Es muy importante proteger el desbloqueo con algu- 
na de estas medidas. La carencia de esta protection ante el 
desbloqueo hace que el acceso a la information de nuestro 
dispositivo sea extremadamente facil. 

Elna vez establecido esto, la siguiente cuestion a resolver 
es: <;cual es el metodo mas seguro? Como en muchas otras 
cuestiones de seguridad, la respuesta es «depende». Vamos a 
revisar los pros y los contras de los metodos mas habituales. 

Patron de desbloqueo. El patron de desbloqueo, muy 
popular entre los usuarios de Android, tiene varias ca- 
racteristicas que disminuyen su eficacia como sistema de 
protection, en concreto: 

• Trazas en la pantalla. La grasa presente en nuestros 
dedos deja trazas en la pantalla, que pueden servir 
para reconstruir facilmente el patron de desbloqueo 
utilizado. 

• Facilmente visibles y recordables. Es relativamente 
sencillo para un tercero malintencionado averiguar 
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cual es el patron de desbloqueo del terminal simple- 
mente mirando por encima del hombro. 

• Alfabeto reducido e imposibilidad de repeticion. Los 
patrones normalmente estan compuestos por nueve 
puntos que no se pueden repetir, ofreciendo un nu- 
mero mas reducido de combinaciones que el que 
posibilitan los demas metodos. 

PIN numerico. Otra opcion muy utilizada, especialmente 
por los usuarios de iPhone. Tiene la desventaja de tener 
un alfabeto muy reducido (0123456789), que podemos 
compensar usando pines largos, de diez cifras o mas. 

Contrasena. Tiene la ventaja de tener un alfabeto amplio 
(mayusculas, minusculas, numeros y simbolos), pero es 
menos usable que un PIN o un patron, ya que normal¬ 
mente tardaremos mas y cometeremos mas errores al 
introducirla. 

Desbloqueo biometrico. Este tipo de desbloqueo se di- 
ferencia de los demas en un concepto fundamental: los 
patrones, pines y contrasenas son algo que sabes. La 
biometria, en cambio, es algo que eres. Por tanto, man- 
ten er la biometria bajo control es mas complicado que 
mantener una buena contrasena bajo control. Pongamos 
por ejemplo el desbloqueo por huella dactilar. Dejamos 
nuestras huellas literalmente en todo lo que tocamos, y 
ademas nuestro adversario podrfa desbloquear nuestro 
dispositivo sin nuestro consentimiento mediante el uso de 
la fuerza, obligandonos a poner el dedo sobre el sensor. 

El mejor metodo de desbloqueo dependera de nuestro mo- 
delo de amenaza: una contrasena o PIN es un sistema robusto 
si es lo bastante complejo y si nuestro adversario no es capaz 
de obtenerlo por otras vfas. Un desbloqueo biometrico es un 
sistema robusto si nuestro adversario no es capaz de capturar 
y reproducir nuestra biometria, o de forzarnos a utilizarla. A 
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la hora de escoger un sistema, es importante pararse a pensar: 
ide que o de quien me estoy defendiendo? 

Cifrado de memoria 

Hoy en dia es imprescindible proteger criptograficamente 
la memoria de nuestros dispositivos. De este modo, garanti- 
zamos que la informacion contenida en dichos dispositivos no 
puede ser accedida sin el conocimiento de la contrasena que 
permite el descifrado de dicha informacion. 

Esto es diferente a utilizar un PIN de desbloqueo de pan- 
talla. A1 cifrar la memoria del telefono, estamos protegiendo 
la informacion de un tipo de ataque mas sofisticado: incluso 
si la memoria es copiada mediante equipo especializado, no 
se podra leer la informacion que contiene si no se dispone de 
la clave de cifrado. 

Los dispositivos iPhone incorporan cifrado de memoria 
por defecto, pero en el caso de los dispositivos Android, esta 
debe ser activada manualmente, para lo que es necesario tener 
la bateria cargada al 100 % y tener el telefono conectado a un 
cargador. Ademas, no todos los modelos de Android soportan 
cifrado de memoria. 

Normalmente encontraremos la opcion para cifrar nues- 
tro telefono Android en la aplicacion de Ajustes, bajo la 
opcion Seguridad. Una vez en este menu, sencillamente pul- 
saremos Cifrar telefono y seguiremos los pasos indicados. Es 
altamente recomendable realizar un respaldo de seguridad de 
nuestros datos antes de habilitar el cifrado de memoria. 
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Filtration de information a traves 
de la pantalla o altavoces 

En ocasiones, determinadas configuraciones pueden ceder 
a nuestro atacante information confidencial. Es el caso de la 
previsualization de notificaciones, que permite al usuario ver 
el contenido de los mensajes desde la pantalla de bloqueo, sin 
necesidad de desbloquearlo. 

Esto podria suponer no solo el compromiso del contenido 
de una conversation confidencial, sino que podria permitir a 
un atacante sortear la autenticacion de dos factores de algu- 
nos servicios o aplicaciones, viendo por ejemplo el codigo de 
seguridad recibido en un SMS, lo que le podria dar acceso a 
cuentas o permitir realizar otras acciones maliciosas. 

Es importante asegurarnos de que el contenido de las no¬ 
tificaciones generadas en nuestros terminales solo es visible si 
el terminal esta desbloqueado. 

Otro aspecto que tenemos que tener en cuenta en rela¬ 
tion a la pantalla del movil es la presencia de mirones cuando 
introducimos nuestras contrasenas, PIN o patron de des- 
bloqueo. Medidas como disminuir el brillo de la pantalla o 
utilizar pantallas de privacidad pueden ayudar a mitigar esta 
amenaza. 

Una pantalla de privacidad es una pequena pieza de 
plastico polarizado que se situa sobre la pantalla del movil, 
permitiendo ver el contenido de la misma solamente a quien 
se halla justo en frente del terminal, y no a las personas que 
hay a su alrededor. Es una buena contramedida frente al ac¬ 
ceso ffsico no autorizado, ya que dificulta mucho a nuestro 
adversario averiguar cual es la contrasena de desbloqueo. 

Tambien es importante desactivar asistentes de voz como 
Siri (iPhone), que permiten interactuar con el telefono incluso 
estando bloqueado, pudiendo acceder a mensajes o ultimas 
llamadas y mostrarlas en pantalla. 
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Rooteo y jailbreak 

A aquellas personas que quieren liberar todo el poten¬ 
tial de sus dispositivos les sera familiar la practica del rooteo 
(Android) o del jailbreak (iPhone). Estas practicas permiten 
acceder a funcionalidades que estan bloqueadas por defecto 
en nuestros terminales, como la posibilidad de acceder como 
usuarios administrativos. 

Pese a las ventajas que tiene disponer de un dispositivo 
en estas condiciones, desde el punto de vista de la seguridad 
debemos plantearnos cuales son las consecuencias de tener el 
acceso administrativo habilitado en nuestro telefono. 

Esta claro que desde un punto de vista de soberania tec- 
nologica, ganar nivel administrativo en nuestro terminal, 
ejecutar cualquier tipo de software sin restricciones, eliminar 
programas privativos no deseados e incluso instalar sistemas 
operativos personalizados es algo que empodera al usuario. 
Sin embargo, ique pasa cuando nuestro terminal modificado 
ha caido en manos de un tercero? 

El nivel administrativo en un terminal movil permite hacer 
una copia bit a bit de toda la memoria del telefono. Esto sig- 
nifica que quien tenga acceso al telefono movil, si consigue 
desbloquearlo podra acceder a muchisima mas information 
que si no se hubiera modificado, incluso a datos que hayan 
sido borrados. Information como historiales de localization, 
navegacion, datos privados de aplicaciones y del sistema 
operativo que de otra manera serian inaccesibles. Esto es es- 
pecialmente cierto en el caso de Android, no tanto en el caso 
de iOS. 

En iOS, se puede realizar un backup completo del tele¬ 
fono si se tiene la capacidad de desbloquearlo. Mensajeria, 
datos sensibles, contactos... Todo puede ser extraido y copia- 
do por un adversario que pueda desbloquear el terminal. El 
nivel administrativo no permitiria acceder a archivos elimi- 
nados en iOS, porque el cifrado se realiza a nivel de archivo. 
El jailbreak solo le daria una ventaja a nuestro oponente, que 
es la de poder instalar malware en el telefono de forma mas 
sencilla. 
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Debemos sopesar bien las ventajas y desventajas de cacha- 
rrear con nuestro smartphone, ya que puede suponer un gran 
descenso en la seguridad de nuestra information. Nuestro 
consejo es solo realizar estas practicas cuando se conoce bien 
lo que se esta haciendo, lo que se pone en riesgo y se extreman 
las medidas de seguridad para protegerlo. 

Definiendo nuestro sistema deproteccion 
frente a acceso ftsico 

A la hora de protegernos es imprescindible preguntarse: 
<;de que me estoy protegiendo? En otras palabras, debemos 
definir a nuestro adversario, de acuerdo con sus capacidades. 
Como en tantas otras ocasiones, la respuesta correcta pasa 
por hacerse la pregunta adecuada: 

l Puede mi adversario observarme desbloquear el telefono 
antes de ganar acceso fisico a el? 

i Puede mi adversario obligarme o coaccionarme para des¬ 
bloquear el dispositivo? 

iMi adversario puede recoger muestras biometricas (hue- 
lias, iris, fotografias) para desbloquear el dispositivo con 
ellas? 

iMi adversario cuenta con conocimientos o medios es- 
pecializados para el desbloqueo por fuerza bruta 23 de mi 
dispositivo? 

Si la respuesta a estas preguntas es afirmativa, seguramen- 
te la mejor option es la de utilizar una buena contrasena, en 
combination con un polarizador de pantalla, cifrado de me- 


23 Desbloqueo por fuerza bruta: ataque consistente en ir 

probando contrasenas automaticamente hasta dar con la 
correcta. 
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moria y previsualizacion de notificaciones desactivada, en un 
dispositivo actualizado y sin acceso administrative habilitado. 

Ademas, en el caso de utilizar una contrasena, es altamen- 
te recomendable cambiarla regularmente, ya que cuanto mas 
tiempo se lleve usando, mas probable es que haya sido com- 
prometida. 


Protection frente al acceso remoto 

Otro de los aspectos que nos debe preocupar respecto a 
la seguridad de nuestro smartphone es el de si un atacante 
puede acceder a nuestros datos de forma remota. Es decir, sin 
acceder fisicamente al terminal. 

Al igual que con el acceso fisico, conocer las diferentes 
posibilidades y defensas nos permitira escoger la mejor estra- 
tegia para proteger nuestra information y comunicaciones. 

Origen y estado de las aplicaciones 

Uno de los puntos mas importantes para evitar que nuestro 
telefono acabe siendo controlado remotamente por terceros 
malintencionados, es instalar aplicaciones de proveedores y 
canales de comunicacion babies y mantenerlas siempre actua- 
lizadas. 

Imagina por un momento el terroribco escenario de 
una aplicacion usando tu camara y microfono para verte y 
escucharte en directo cuando piensas que el telefono esta blo- 
queado o incluso apagado. Desgraciadamente, es un escenario 
perfectamente viable si no vigilamos que tipo de aplicaciones 
nos instalamos, desde donde, y si no mantenemos nuestros 
dispositivos actualizados. 

Hablemos primero de los canales de distribution de apli¬ 
caciones: Google Play y F-Droid en el caso de Android, y App 
Store en el caso de Apple. 
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Android 

En Android, por defecto, solo podemos descargarnos apli- 
caciones que provengan de Google Play, la tienda oficial de 
Google de aplicaciones para Android. No obstante, este sis- 
tema operativo brinda al usuario la posibilidad de instalar 
aplicaciones de terceros o de fuentes desconocidas, habilitan- 
do esta opcion desde el panel de ajustes. Esto ha posibilitado 
la proliferacion de mercados alternativos a Google Play y 
tambien de versiones troyanizadas 24 de aplicaciones oficiales, 
facilmente instalables desde fuentes poco fiables. 

En este sentido, los usuarios de Android cuentan con mas 
libertad que los de iPhone a la hora de escoger sus aplicacio¬ 
nes y su canal de distribucion de apps , pero esto les obliga 
a estar alerta cuando descargan aplicaciones desde fuera de 
Google Play. 

Incluso cuando descargarnos aplicaciones desde Google 
Play no podemos tener la seguridad de estar cien por cien a 
salvo. Dentro de esta tienda han aparecido en muchisimas 
ocasiones aplicaciones maliciosas en forma de juegos y otros 
elementos atractivos que invitan a su descarga por parte de 
los usuarios. 

Criptica defiende desde sus origenes el software libre y de 
codigo abierto como mejor solucion a las aplicaciones malin- 
tencionadas y recomienda su uso en la medida de lo posible. 
Existe una tienda alternativa a Google Play, llamada F-Droid, 
que solo distribuye aplicaciones de codigo abierto para An¬ 
droid. Puedes leer mas information sobre este repositorio en 
el capitulo de resenas de aplicaciones en la pagina 118. 

En la linea de todo lo que se ha dicho, debemos extremar 
la precaution con los enlaces de descarga de aplicaciones que 
recibamos via SMS, correo electronico o similar. Nunca debe¬ 
mos instalar aplicaciones de fuentes desconocidas. 


24 


Un troyano es un programa o aplicacion que permite el 
control remoto no autorizado del dispositivo de manera 
oculta. 
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iPhone 

Los usuarios de iPhone, a diferencia de los de Android, 
no tienen option a la hora de escoger el origen de sus aplica- 
ciones: deben ser obligatoriamente de la App Store. La unica 
manera de instalar aplicaciones desde otros origenes es me- 
diante el ya mencionado jailbreak u obteniendo una licencia 
de desarrollador para tu dispositivo, que cuesta 99 dolares al 
ano. 

Esta filosofia cerrada resta libertad a los usuarios a la hora 
de escoger que es lo que quieren ejecutar en sus terminales, 
pero limita tambien la cantidad de opciones disponibles para 
que los atacantes consigan colocar su malware en estos dis- 
positivos. 

Esto no significa que no haya malware en la App Store. De- 
bemos escoger siempre con cuidado que es lo que instalamos 
y decidir si confiamos en los desarrolladores de la aplicacion. 

En este sentido, al igual que en Android recomendamos 
encarecidamente el uso de aplicaciones de software libre y co- 
digo abierto, como las que aparecen en la section de resedas. 


Actualizaciones 

No solo debe preocuparnos de quien y de donde descar- 
gamos las aplicaciones que ejecutamos en nuestros moviles, 
tambien debemos preocuparnos por mantenerlas actualiza- 
das. Las actualizaciones no solo incluyen funcionalidades 
nuevas en las apps, sino que tambien solucionan aquellos pro- 
blemas de seguridad que se van descubriendo con el tiempo. 
La unica manera de minimizar los agujeros de seguridad de 
nuestras aplicaciones es mantenerlas siempre actualizadas. 

Asimismo, es igualmente importante mantener actua- 
lizado nuestro sistema operativo, ya que de esta manera se 
solucionan tambien aquellos problemas de seguridad que 
pueda tener, una vez han sido descubiertos. Practicamente 
cada semana se publican nuevas vulnerabilidades que podrian 
comprometer seriamente la seguridad del terminal (acceso re- 
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moto e ilegitimo), de ahi que sea fundamental estar al dia de 
cada actualization publicada, en vez de posponerla indefini- 
damente. 

Esto es especialmente problematico en el ecosistema de 
Android, ya que normalmente dispondremos de actuali- 
zaciones durante entre uno y tres anos desde la salida del 
dispositivo al mercado, dependiendo de la marca. Apple, por 
otro lado, ofrece entre cuatro y cinco anos de soporte para los 
dispositivos iPhone. 

Comunicaciones seguras: cifrado de comunicaciones 

Nuestros smartphones son, en esencia, dispositivos de co- 
municacion. Y por tanto, otro aspecto a tener en cuenta a la 
hora de protegernos de accesos remotos es el de si nuestras 
comunicaciones estan protegidas adecuadamente. ^Puede un 
atacante ver el contenido de mis mensajes? ,;Puede escuchar 
mis llamadas? ^Puede modificar el contenido de los paquetes 
que viajan por Internet cuando visito una web? 

Todas estas acciones son posibles para un atacante que 
cuente con las condiciones adecuadas. Debemos, por tanto, 
asegurarnos de utilizar las herramientas adecuadas para 
proteger la information que viaja desde y hacia nuestro 
smartphone, para que nadie pueda acceder a ella o modificarla 
con fines maliciosos. 


Navegacion web: HTTPS y el candado verde 

A la hora de navegar, debemos saber que existen dos pro- 
tocolos para visitar una pagina web: HTTP y HTTPS. Los 
protocolos no son mas que el «lenguaje» que habla nuestro 
navegador con el servidor web para poder descargar una pa¬ 
gina determinada. 

La diferencia entre usar HTTP y HTTPS es simple: cuando 
utilizamos HTTP, los mensajes que envia nuestro navegador 
al servidor web y viceversa viajan «en claro». Es decir, toda in¬ 
formation que enviemos y recibamos del servidor viaja como 
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si de una postal se tratase, pudiendo ser vista (y modificada) 
por todos aquellos lugares por donde pasa. El navegador no 
tiene manera de garantizar que la informacion enviada o re- 
cibida no haya sido registrada o alterada por terceras partes. 
Tampoco puede verificar la identidad del servidor web, con lo 
que no hay ninguna garantia de que se este visitando el lugar 
que el usuario cree que esta visitando. 

HTTPS pretende solucionar estos problemas, haciendo 
que la comunicacion entre navegador y servidor sea cifrada, 
garantizando la confidencialidad de la informacion durante 
su viaje. Ademas, este protocolo tambien garantiza que la 
informacion no ha sido alterada y permite al navegador veri¬ 
ficar que realmente se esta visitando la pagina que el usuario 
cree que esta visitando. En estas ocasiones, el navegador nos 
mostrara un candado verde junto a la direccion. 

Asimismo, siempre que vayamos a introducir informacion 
sensible en una pagina (contrasenas, mensajes privados, nu- 
meros de cuenta...), debemos asegurarnos de que se muestra 
el candado verde junto a la direccion de la pagina y de que el 
nombre del dominio que visitamos es correcto. Pongamos por 
ejemplo que un atacante ha registrado el dominio «mibacno. 
com» con la intencion de conseguir contrasenas de usua- 
rios de «mibanco.com». Al controlar el atacante el dominio, 
puede configurar un servidor web adecuadamente para que 
cuando un usuario despistado lo visite y vea el candado verde 
piense que este visitando «mibanco.com», cuando en reali¬ 
dad la direccion es «mibacno.com». Por eso es importante 
asegurarse de que la direccion esta bien escrita, especialmente 
cuando hemos visitado un enlace que nos ha proporcionado 
un tercero. Este tipo de ataques donde el atacante suplanta la 
identidad de un sitio legitimo se conoce como phishing. 


Redes no conftadas: VPN 

En ocasiones nos conectamos a redes wifi en cafeterias, 
hoteles u otros lugares donde no sabemos si hay atacantes al 
acecho. Incluso la propia red wifi podria haber sido desple- 
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gada con intenciones maliciosas. Con el fin de dotar de una 
capa de seguridad a nuestras comunicaciones en estos entor- 
nos desconocidos, podemos utilizar una VPN 25 . 

En el capftulo de resedas de aplicaciones del libro, en la 
pagina 130, encontraras como utilizar una aplicacion que 
permita a tu smartphone conectarse a una de estas redes y 
darte una capa extra de seguridad y privacidad. 

Comunicacion instantanea: cifrado de extremo a extremo. 

Los SMS y las llamadas tampoco estan exentos de peli- 
gros. Nuestro proveedor de telefonia tiene la capacidad (a 
nivel tecnico) de escuchar nuestras llamadas y leer nuestros 
SMS, los cuales quedan almacenados por ley durante doce 
meses 26 . Por tanto, si queremos proteger la confidencialidad 
de nuestras comunicaciones frente a un adversario con dichas 
capacidades, deberemos utilizar alternativas de comunicacion 
instantanea que utilicen cifrado de extremo a extremo ( end- 
to-end encryption). 

El cifrado de extremo a extremo es una medida de protec- 
cion que consiste en que solo los extremos de la comunicacion 
(es decir, los smartphones u ordenadores que se comunican) 
disponen de las claves necesarias para descifrar la informacion 
que estan intercambiando. Ningun elemento intermedio (pro- 
veedores de telefonia, Internet, mensajeria, VoIP, NSA...) puede 
descifrar esta informacion, ya que no dispone de la clave. Es un 
grandisimo ejemplo de la llamada privacidad por diseno , que 
garantiza a nivel tecnico que nuestra informacion solo puede 
ser accedida por quien se supone que debe acceder a ella. 


25 VPN, Virtual Private Network: una red VPN cifra todo 
el trafico entrante y saliente de nuestro dispositivo y lo 
enruta a traves de una localizacion de confianza, de ma- 
nera que aunque estemos en una red no confiada, ningun 
atacante sera capaz de ver o alterar el contenido de los 
mensajes. 

26 Ley 25/2007, de 18 de octubre, de conservacion de datos 
relativos a las comunicaciones electronicas y a las redes 
publicas de comunicaciones. 
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En la pagina 108 encontraras una comparativa entre 
distintas alternativas de comunicacion instantanea, con sus 
respectivos pros y contras. 

Contraseiias y 2FA 

Otra manera en la que un atacante podrfa obtener acceso 
remoto a nuestra information es accediendo de forma ilegitima 
a una de nuestras cuentas (correo electronico, redes sociales, 
etc.). Es por eso por lo que es muy importante conocer que me- 
didas de protection podemos utilizar para evitar este escenario. 

La medida de protection basica que protege el control de 
cualquiera de nuestras cuentas es la contrasena. Escoger nues¬ 
tra contrasena adecuadamente es por tanto algo importante. 
Una frase recurrente en nuestras charlas es que una contrasena 
es como la ropa interior: no la reutilices, no la compartas y no 
la dejes a la vista. 

Una contrasena debe ser unica para cada cuenta, debe ser 
secreta y robusta: no utilices elementos publicos de tu vida, 
como fechas, nombres o lugares. Escoge frases o palabras al 
azar, e intenta hacerlas largas e impredecibles. 

Una vez has generado y aplicado una contrasena segura, 
hay varios aspectos a tener en cuenta a nivel de usabilidad y 
seguridad. El primero y que seguramente te estas preguntado 
es: icomo recuerdo todas esas contraseiias? 

El mejor modo es no tener que recordarlas: utiliza un ges- 
tor de contraseiias como KeepassDroid (o KeePassX, en tu PC). 
Encontraras una reseiia de KeepassDroid en nuestro capitu- 
lo de aplicaciones. Estos gestores permiten proteger todas tus 
contraseiias de forma ordenada y segura, con una unica clave 
maestra, de manera que puedes desbloquearlas y consultarlas 
siempre que lo necesites. 

Otro aspecto a tener en cuenta en la gestion de nuestras 
contraseiias es el referente a las medidas de protection que 
puedan tener las bases de datos de nuestros proveedores de 
servicios. Cada aiio somos testigos de como varios proveedores 
sufren ataques y brechas de seguridad en las que se ven com- 
prometidas cientos de miles de contraseiias: Adobe, Linkedln, 
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PlayStation... El hecho de no reutilizar claves te protege de 
que incluso si un atacante llega a descubrir cual es la tuya en 
un servicio, no pueda utilizarla para acceder a tus otras cuen- 
tas. Si, por el contrario, tienes una misma contrasena que usas 
para todo, en caso de que alguien se hiciera con ella ganaria 
un acceso integral a tu identidad online (solamente tendria que 
introducirla en los distintos servicios). 

Dicho esto, hay dos medidas que se pueden aplicar para 
protegernos de estas brechas de seguridad: 

Cambiar las contrasenas frecuentemente. Esta medida mi- 
tiga el riesgo de que accedan a nuestras cuentas al cabo de 
un determinado tiempo de haberse producido la brecha, 
ya que la contrasena ya no sera valida. Tiene un elevado 
coste de usabilidad, sobre todo si tenemos muchas con¬ 
trasenas. 

Eltilizar autenticacion de dos factores o 2FA. A la hora 
de proteger el acceso a una cuenta, existen tres factores 
que se pueden utilizar para verificar tu identidad: algo que 
solo tu sabes (contrasena, PIN), algo que solo tu tienes 
(tarjeta, movil) o algo que solo tu eres (biometria). La au¬ 
tenticacion 2FA implica utilizar dos de estos factores para 
proporcionarte acceso a tus cuentas. El caso mas habi¬ 
tual es el de usar una contrasena mas un codigo recibido 
via SMS o aplicacion en nuestro smartphone. Este tipo 
de medida es efectiva frente a un adversario que contro- 
la nuestra contrasena pero no nuestro telefono, aunque 
tiene el coste de revelar nuestra identidad real (vinculada 
a nuestro telefono) al proveedor del servicio que quere- 
mos proteger. Debemos escoger en cada caso si preferimos 
gozar de mas anonimato o de una capa adicional de segu¬ 
ridad en el acceso a nuestras cuentas. 

Un servicio muy util a la hora de descubrir si nuestras con¬ 
trasenas han sido comprometidas es https://haveibeenpwned. 
com. En esta pagina podras consultar si tu cuenta de correo 
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ha aparecido en una filtration de alguna base de datos, y por 
tanto si tu contrasena puede haber sido comprometida o no. 


Protection de la privacidad 

Desde el punto de vista de la privacidad, el ecosistema de 
los smartphones es una autentica pesadilla. Contactos, SMS, 
llamadas, localization... Gran parte de la information que 
acumula nuestro terminal puede ser accedida y recopilada por 
una infinidad de aplicaciones. Por eso es especialmente im- 
portante examinar detenidamente las capacidades de las apps 
que vayamos a instalar. 

La fiebre de las apps 

Hay una app para todo. Cualquier servicio que puedas 
pensar, desde el mas util hasta el mas estupido, hay una apli¬ 
cacion para ello. Es una clara tendencia: todo lo que antes se 
hacia via web, ahora se hace via app. 

Y esta aparentemente pequena diferencia entre una web 
y una aplicacion es en realidad muy grande. Cuando visita- 
mos una pagina web, la information que esta puede recopilar 
sobre nosotros es sustancial pero limitada. Ademas de los 
datos que introduzcamos en la web, puede recopilar informa¬ 
tion como nuestra direction IP, navegador, sistema operativo, 
idioma, cookies que permitan correlacionar con actividad 
previa o futura... Pero todos estos aspectos son facilmente 
protegibles mediante el uso de Tor o VPN (encontraras apli¬ 
caciones para usar estos servicios en el capitulo de resedas) 
o complementos de navegacion. Las apps , en cambio, estan 
hechas de otra pasta. 

Una aplicacion puede llegar a acceder a practicamente 
toda la information y sensores de nuestro telefono si tiene los 
permisos adecuados: identidad, contactos, information del 
wifi, localization GPS, SMS, llamadas e incluso microfono o 
camara. 
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La informacion que recopila una aplicacion es por tanto 
mucho mayor, y como usuarios debemos decidir con cuidado 
que aplicaciones tienen acceso a que datos en nuestro telefo- 
no. 

Aplicaciones: recuperando la privacidad 

Desde el punto de vista de las aplicaciones, hay dos cosas 
que como usuarios podemos hacer para mejorar la privacidad 
en nuestro smartphone: 

Control de permisos de nuestras aplicaciones. 

Utilizar aplicaciones respetuosas con nuestra privacidad. 

Control de permisos 

Tanto Android como iPhone ofrecen la posibilidad de au- 
torizar o denegar permisos a las aplicaciones, de manera que 
se puede controlar el acceso a diferentes aspectos de nuestro 
smartphone de forma mas o menos granular. 

En ocasiones encontraremos aplicaciones que son extre- 
madamente invasivas en cuanto a los permisos que solicitan. 
Hay aplicaciones que incluso dejaran de funcionar correcta- 
mente cuando desactivemos ciertos permisos. A veces se debe 
a que necesitan dicho permiso para hacer su funcion, pero en 
otras es un mero chantaje para acceder a tus datos. 

En estas ocasiones, esta en la mano del usuario decidir si 
cede o si busca una aplicacion alternativa, respetuosa con su 
privacidad. 

En Android podemos controlar los permisos aplicacion 
por aplicacion a partir de la version 6.0, desde el menu de 
aplicaciones 27 . Si nos dirigimos a Ajustes > Aplicaciones , 


27 


Esto podria cambiar en un futuro: algunas versiones de 
Android ya permiten controlar los permisos a nivel gene¬ 
ral, a la manera de iOS. 
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podemos ver todas las apli- 
caciones instaladas. Para 
gestionar los permisos de 
cada aplicacion, pulsa- 
remos sobre ella y luego 
sobre Permisos. En este 
panel podremos consultar 
que permisos estan activos 
y denegar o permitir aque- 
llos que queramos. 

En iOS, por otro lado, 
el control de permisos se 
realiza a nivel general, en 
vez de a nivel de aplicacion. 

Para gestionar los permi¬ 
sos, debemos dirigirnos a 
Ajustes > Privacidad. En 
este menu encontraremos 
cada uno de los permisos 
que se pueden conceder a 
las aplicaciones, y pulsan- 
do sobre ellos podremos 
gestionar que aplicaciones 
pueden gozar de cada uno. 

Aplicaciones respetuosas 
con la privacidad 

Existen multitud de al- 
ternativas para muchos de 
los servicios y aplicaciones 
invasivas que usamos cada 
dia, aunque en este sentido, en Android encontraremos mu- 
chas mas que en iOS. 

A1 principio de este libro explicamos cuales son nuestros 
criterios para proponer estas alternativas, y al final del mismo 
encontraras un apartado de resenas de aplicaciones que si- 
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guen dichas directrices. Descubriras alternativas a Google 
Maps, Calendar, WhatsApp... 

Cabe mencionar que, igual que iOS ofrece un cifrado de 
memoria a nivel de archivo y por defecto, en Android en- 
contraremos un ecosistema de aplicaciones respetuosas con la 
privacidad considerablemente mas grande. 

Navegacion y privacidad 

Una vez abordado el tema de las apps, pasemos a como 
podemos mejorar nuestra privacidad cuando navegamos 
desde nuestro smartphone. 

Para navegar, recomendamos utilizar un explorador con 
licencia libre y una filosofia respetuosa con la privacidad, 
como Firefox. Ademas, Firefox cuenta con multitud de com- 
plementos que dificultan la monitorizacion a la que estamos 
sometidos cuando navegamos 28 . Estos complementos son: 

uBlock Origin. Bloquea los anuncios y por tanto los trac¬ 
kers 29 que llevan incorporados para monitorizar nuestra 
actividad. 

Privacy Badger. Bloquea trackers presentes en las paginas 
que visitemos. Nos otorga un control granular de que pro- 
gramas de terceros queremos permitir o bloquear. 

Cookie AutoDelete. Destruye las cookies descargadas por 
una pagina en cuanto cerramos la pestana. 

HTTPS Everywhere, fuerza la conexion por HTTPS siem- 
pre que sea posible. 


28 Podemos descargar e instalar todos los complementos 
mencionados desde https://addons.mozilla.org. 

29 Se denomina tracker a la tecnica que utilizan algunos sitios 
web para hacer un seguimiento de la actividad del usuario 
a traves de multiples paginas sin que este sea consciente de 
ello. 
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Si queremos una capa extra de privacidad, podemos tam- 
bien anonimizar nuestra IP de origen usando una VPN o Tor, 
a costa de perder velocidad de navegacion. Habra ocasiones 
en las que queramos tener una navegacion lo mas anonima 
posible, y es en estos escenarios donde podemos usar estos 
servicios. 

Puedes encontrar resenas de OpenVPN y Tor Browser en 
el capitulo de resenas. 


Protection de la accesibilidad 

Un aspecto nada desdenable de la seguridad de nuestros 
datos es la accesibilidad a nuestra informacion. Dicho en 
otras palabras, la capacidad de seguir accediendo a nuestros 
datos cuando lo necesitemos. 

Los smartphones son elementos propensos a ser perdidos, 
robados o rotos. Por esta razon debemos tener en cuenta que 
los datos que tenemos guardados en ellos hoy, pueden quedar 
inaccesibles manana. Por ello, realizar copias de seguridad re- 
gulares de nuestra informacion es importante. 

En la nube versus offline 

Cuando realizamos una copia de seguridad, podemos 
guardarla «en la nube» o en un dispositivo externo bajo 
nuestro control (PC, disco duro, NAS 30 ...). Cada una de estas 
localizaciones tiene sus ventajas y sus desventajas. 

Subir las copias de seguridad a la nube tiene una clara 
ventaja de usabilidad. Generalmente, estos respaldos son au- 
tomaticos, transparentes al usuario y, al estar la informacion 
disponible online , podemos acceder a ella siempre que tenga- 
mos conexion a Internet. 

La desventaja de este enfoque es que perdemos parcial- 
mente el control de nuestra informacion cuando la subimos 


30 


NAS, Network Attached Storage: dispositivo que permite 
almacenar archivos en una red local. 
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a los servidores de la empresa que nos ofrece el servicio de 
almacenamiento. Tener la informacion en la nube implica 
ceder esta informacion a una empresa para que la guarde, y 
tambien a quien esta se la quiera ceder. Podemos escoger en 
que proveedor realizar nuestros respaldos, buscando aquellos 
que nos ofrezcan una mayor confianza en cuanto al respeto 
de nuestra privacidad. 

Tambien existe el riesgo de que la cuenta de almacena¬ 
miento en la nube sea accedida de forma ilegitima debido a 
algun fallo de seguridad. Un ejemplo es la filtration producida 
en octubre del 20 f 4 de cientos de fotograffas de celebridades, 
muchas de ellas de desnudos, que habian sido extraidas ilegi- 
timamente de iCloud. 

Por otro lado, los respaldos offline o «en local», son 
aquellos que realizamos de manera manual a otro disposi- 
tivo que poseamos, como un PC o un disco duro externo. 
Generalmente deberemos tomarnos el tiempo de hacer estos 
respaldos a mano y puede que no los tengamos disponibles 
desde cualquier lugar cuando los necesitemos. La ventaja es 
que la informacion respaldada esta bajo nuestro control y 
nadie podra acceder a ella sin acceder fisicamente al dispositi- 
vo que la guarda o mediante el uso de malware. 

En funcion del nivel de privacidad, accesibilidad y modelo 
de amenaza, deberemos escoger cual es el metodo que mas 
nos conviene. En cualquier caso, es importante realizar estos 
respaldos para garantizar que conservamos al menos parte de 
nuestra informacion tras un robo, perdida o accidente. 
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Introduction 

Las redes sociales actualmente cuentan con un impacto 
bastante grande en nuestra sociedad. Hoy en dia, no perte- 
necer a ninguna red social puede ser considerado motivo de 
marginacion, aunque hayas decidido no hacerlo por princi- 
pios. El mundo de las redes sociales cada vez crece mas y nos 
expone de distintas maneras, no solamente a traves de nues- 
tros datos personales (numero de telefono, correo electronico, 
nombre y apellidos, etc.), sino tambien a traves de nuestra 
manera de usarlos. En muchos casos, el propietario de una 
cuenta expone mas sobre si mismo de lo que parece. 

Pensar que por tener un nickname o nombre en clave, e 
inventarse los datos asociados a tu cuenta ya estas protegido, 
es obviar el gran poder que tienen las redes sociales sobre no- 
sotros. La necesidad de compartir nuestra ubicacion, nuestros 
gustos, aficiones o ideologia politica consigue que en muchos 
casos seamos faciles de asociar con otros usuarios e incluso 
con grupos afines a nuestra manera de pensar. 

Es posible que despues de haberlo considerado no puedas 
desconectar tu vida de las redes sociales, y por eso vamos a 
darte unos consejos para que puedas protegerte, pero sin caer 
en la obviedad de que la mejor proteccion para tu intimidad 
y privacidad es el sentido comun. Evitar compartir detalles 
personales que expongan tu intimidad en el dia a dia es la pre- 
vencion mas importante sobre el control de las redes sociales. 
A dia de hoy no existe ninguna herramienta que nos proteja 
integramente de personas de personas que quieran herirnos o 
controlar nuestra actividad. 

Existen diversas herramientas que relacionan tus «me 
gusta» o retuiteos con movimientos sociales o ideologias poli- 
ticas afines, y esto le concede un mayor poder a tu adversario. 
Cuanto mas informacion generas, mas facil es ubicarte en una 
base de datos ideologica sumamente detallada, atendiendo a 
tu rango de edad, ciudad y circulo social. O peor aun, tambien 
existen herramientas online que se dedican a clasificar toda la 
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information que hayas generado en tus perfiles para que con 
un solo clic quede expuesta por categorias. 

En este apartado te exponemos ciertas caracterfsticas que 
se pueden desactivar de las redes sociales mas usadas, permi- 
tiendo un mayor control sobre los datos que se publican. Es 
importante remarcar que este manual esta actualizado en la 
fecha de publication del mismo, pero que con la velocidad a 
la que las aplicaciones son mejoradas, quedara desactualiza- 
do pronto. Sin embargo, suelen tener patrones parecidos en 
cada actualization, es cuestion de buscar intensamente apar- 
tados similares a los aqui citados para conseguir el mismo 
resultado. Puede que incluso hayan incluido nuevas opciones 
para limitar o desactivar la recopilacion de algunos datos. 

No evitaremos en ningun caso que la empresa tenga el 
control sobre nuestros datos, la unica manera de que eso su- 
ceda es no haciendo uso de estas redes sociales. 


Criptica no recomienda en ningun caso el uso de Fa- 
cebook, Twitter o Instagram como redes sociales 
respetuosas con la privacidad. Estas empresas recogen 
datos y metadatos de las imagenes o videos publicados, 
de interacciones entre usuarios, de navegacion, ubica- 
ciones, IP, etcetera, para analizarlos y almacenarlos con 
fines comerciales y publicitarios. 


Si no pagas por el producto, 
el producto eres tu 
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Facebook 

Facebook. Uno de los gigantes entre las redes sociales. Una 
empresa que crece exponencialmente a un ritmo frenetico 
comprando otras redes sociales o aplicaciones de mensajeria 
(Instagram, WhatsApp) para relacionar aun mas a los usua- 
rios entre ellos y conseguir un mayor numero de datos para 
comercializarlos posteriormente. 

Facebook actualmente recopila y almacena una vertigino- 
sa cantidad de datos de sus usuarios. Sin olvidar el aviso de la 
propia corporacion: «Las categories de datos que recibimos, 
recopilamos y guardamos pueden cambiar con el tiempo», 
para dejar claro que aun pueden guardar mas informacion en 
un futuro o que pueden estar recopilando informacion que no 
estan obligados a mostrarte. 

Dentro de la red social, tienes un apartado donde pue- 
des descargarte un archivo con todos los datos que Facebook 
tiene almacenados sobre ti. Desde la pestana Configuration 
dentro de tu perfil, tienes el apartado Tit information de Fa¬ 
cebook, donde dispones de un enlace en la parte de abajo que 
dice: Descargar tu information. Facebook tardara un tiempo 
en proporcionarte el enlace, pero dentro de esta copia veras 
todas las IP desde donde te has conectado, los horarios, las 
ubicaciones, todos los comentarios hechos y recibidos, las 
fotos etiquetadas, intereses, eventos a los que has sido invita- 
do y un largo etcetera de informacion personal. 

Tras la aplicacion del GDPR. 31 y el escandalo de Cambri¬ 
dge Analytica 32 , si procedias a descargarte el fichero con tus 
datos podias observar un incremento bastante resenable en 
los datos que tenian guardados sobre ti. iSignifica esto que 


31 GDPR, General Data Protection Regulation: nuevo 
reglamento de proteccion de datos a escala europea, que 
significa un avance en materia de privacidad. 

32 Veanse https://www.lavanguardia.com/internacio- 
nal/20180323/44182047694 7/como-utilizo-cambrid- 
ge-analytica-datos-facebook-manipular-votantes.html, y 
https://www.bbc.com/mundo/noticias-43472797. 
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Facebook ha comenzado a recopilarlos ahora? No. Significa 
que la empresa posefa muchfsima mas informacion de ti de la 
que decfa tener antes de verse obligada a revelartela una vez 
entrado en vigor el GDPR. 


Nombre 

Fecha de modifica... 

Tipo Tamano 

, html 

26/02/2018 12:34 

Carpeta de archivos 

i messages 

26/02/2018 12:34 

Carpeta de archivos 

photos 

26/02/2018 12:33 

Carpeta de archivos 

, i videos 

26/02/2018 12:34 

Carpeta de archivos 

B index.htm 

26/02/201812:33 

Firefox HTML Doc... 25 KB 


La imagen de arriba es la descarga del arcbivo de datos de un 
usuario medio en Facebook en febrero del 2018; la imagen de la 
derecba es la descarga del mismo arcbivo del mismo usuario en 
septiembre del 2018. 


iPodemos hacer algo con toda esta informacion que ya 
tiene sobre nosotros? La respuesta es ambigua. Hay informa¬ 
cion que Facebook se compromete a borrar de sus servidores 
cuando eliminas tu cuenta, y por otro lado, hay informacion 
que por desgracia ya ha sido cedida a terceras empresas y ya 
no podremos volver a tener el control sobre ella, no con las 
leyes actuales, al menos 33 . 

A continuacion, explicaremos como limitar o desactivar 
algunas opciones de recopilacion de datos desde la aplicacion 
para movil de Facebook. Si accedemos desde un navegador, 
las opciones son mas amplias, e investigando un poco mas 
a fondo podemos limitar aun mas el acceso (eliminando las 
cookies del navegador, por ejemplo 34 ). 


33 Sobre esta cuestion, vease https://www.elmundo.es/tecno- 
Iogia/2018/03/15/5aaa4546468aebl96f8b45f0.html. 

34 Vease la seccion «Navegacion y privacidad» para mas 
informacion al respecto. 
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Nombre 

Fecha de modifica... 

Tipo Tamano 

i. about_you 

11/09/201814:00 

Carpeta de archivos 

0 ads 

11/09/201814:00 

Carpeta de archivos 

i apps_and_websites 

11/09/201814:00 

Carpeta de archivos 

calls_and_messages 

11/09/201814:00 

Carpeta de archivos 

comments 

11/09/201814:00 

Carpeta de archivos 

£ events 

11/09/201814:00 

Carpeta de archivos 

j following_and_followers 

11/09/201814:00 

Carpeta de archivos 

Jb friends 

11/09/201814:00 

Carpeta de archivos 

groups 

11/09/201814:00 

Carpeta de archivos 

|J4 likes_and_reactions 

11/09/201814:00 

Carpeta de archivos 

location_history 

11/09/2018 14:00 

Carpeta de archivos 

i marketplace 

11/09/201814:00 

Carpeta de archivos 

U4 messages 

11/09/201814:00 

Carpeta de archivos 

^ other_activity 

11/09/201814:00 

Carpeta de archivos 

^ pages 

11/09/201814:00 

Carpeta de archivos 

J i payment_history 

11/09/201814:00 

Carpeta de archivos 

Jt photos_and_videos 

11/09/201814:00 

Carpeta de archivos 

posts 

11/09/201814:00 

Carpeta de archivos 

profilejnformation 

11/09/201814:00 

Carpeta de archivos 

savedjtems 

11/09/201814:00 

Carpeta de archivos 

Jb sea reh_history 

11/09/201814:00 

Carpeta de archivos 

security_and_login_information 

11/09/201814:00 

Carpeta de archivos 

I your_places 

11/09/201814:00 

Carpeta de archivos 

C index.html 

11/09/201814:00 

Firefox HTML Doc... 50 KB 


Para empezar a configurar nuestro Facebook, accedere- 
mos al apartado Configuration y privacidad en la lista de 
opciones dentro de la propia aplicacion. Aprovechamos para 
recordar que, si queremos ocultar el origen de nuestra cone- 
xion, podemos utilizar Orbot o una VPN. 
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Configuration 

Dentro del apartado Se- 
guridad podemos ver las 
aplicaciones a las que 
hemos dado permiso 
desde Facebook para ac- 
ceder a nuestros datos. 

En el primer punto, 

Sesion iniciada con Face- 
book, podremos ver que 
aplicaciones tienen ac- 
ceso a nuestros datos en 
este instante y desactivar- 
las al momento. 

En Preferencias des- 
activaremos la opcion 
Aplicaciones, sitios web y 
juegos. Esto limitara el acceso a nuestros datos por parte 
de aplicaciones de terceros dentro de la plataforma de Fa¬ 
cebook. 

Continuamos con el siguiente apartado: Privacidad. Aqui 
podremos configurar nuestro perfil para que las publi- 
caciones sean privadas e incluso limitar quien puede ver 
publicaciones antiguas. Un punto importante es el de 
poner al maximo la privacidad de tu lista de amigos, es- 
cogiendo la opcion para que nadie pueda ver esta lista, ni 
siquiera tus propios amigos. Otro punto importante son 
los motores de busqueda que enlacen a tu perfil, tenemos 
que escoger la opcion No para un mayor grado de priva¬ 
cidad. Los buscadores registran constantemente palabras 
clave en todo tipo de paginas, de forma que algunas de 
las acciones o mensajes vinculados a nuestra cuenta po- 
drian quedar reflejados en los resultados de Google u otro 
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motor de busqueda, en caso de no seleccionar este para- 
metro. 

Tenemos que desactivar el reconocimiento facial de las 
fotografias y videos, y escoger privacidad maxima en el 
etiquetado de fotos o publicaciones que otras personas 
hagan sobre ti. 

Desactivaremos la opcion Estado activo para evitar que 
desde el Messenger de Facebook se pueda ver si actual- 
mente estas frente a la aplicacion o cuando fue la ultima 
vez que lo estuviste. 

En Tu information de Facebook podras consultar la 
informacion generada en la red social clasificada por cate- 
gorias, el registro de tu actividad reciente y descargar una 
copia de toda la informacion que poseen sobre ti. Aqui 
podras desactivar temporalmente tu cuenta y volver cuan¬ 
do te apetezca o eliminarla definitivamente. Esto ultimo 
no significa necesariamente que toda la informacion que 
hay en Facebook sobre ti desaparezca, pero es un punto 
de partida para desvincularte lo maximo posible de la cor- 
poracion. 

Seguidamente nos encontramos con el apartado Anun- 
cios, donde podras ver con que anuncios has interactuado 
y cuales son las preferencias que ellos tienen sobre ti a 
la hora de mostrarte publicidad. Aconsejamos tener estas 
opciones desactivadas para evitar que hagan un perfilado 
aun mayor de tus gustos e interacciones. 


Accesos directos de privacidad 

Dentro de esta categoria tenemos varias opciones para, 
con un vistazo sencillo y rapido, controlar el acceso que otras 
personas tienen a nuestro contenido. 
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Privacidad. Facebook te 
proporciona el apartado 
Revisar algunas opciones 
de privacidad importan- 
tes, donde podras, en tres 
sencillos pasos y de una 
manera muy visual, limi- 
tar el acceso a terceras 
personas a tu perfil y a tus 
publicaciones. Debemos 
limitar la information que 
mostramos a los demas 
al maximo, y evitar tener 
apartados publicos. Mas 
abajo desactivaremos los 
servicios de ubicacion y el 
reconocimiento facial en 
fotografias o videos. 



Herramientas para ayudarte a controlar tu 
privacidad y seguridad en Facebook 



Privacidad 


Decide quien ve lo que compartes 
en Facebook y administra los datos 
que nos ayudan a personalizar las 
experiencias. 


Revisar algunas opciones de 
privacidad importantes 


•gj> Obtener informacion sobre tu 
privacidad en Facebook 


(o) Administrar la configuracion 
de ubicacion 


^ Controlar el reconocimiento facial 


• • • Ver mas opciones de privacidad 


Proteccion de la cuenta. 

Aqui podras actualizar tu information personal y cambiar 
tu contrasena. Recomendamos cambiar la contrasena de 
manera regular, al igual que todas las que utilices en otras 
cuentas. 

Preferencias de anuncios. Es importante que deniegues el 
permiso a Facebook a usar tus datos de usuario para mos- 
trarte los anuncios que consideren mas relevantes. Dentro 
de estas opciones marcaremos todas como No permitido, 
y mas abajo elegiremos que nadie de nuestros contactos 
pueda ver nuestros me gusta a paginas publicitarias. 

Por ultimo, aconsejamos que si utilizas Facebook desde 
un navegador, no olvides instalarte plugins totalmente nece- 
sarios para evitar que nos rastree alia por donde naveguemos: 
Cookie AutoDelete (elimina las cookies ), uBlock Origin (blo- 
quea publicidad) o Facebook Container (contiene las cookies 
de Facebook en una pestana). Estos plugins evitaran que 
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Facebook monitorice tu actividad por la web para ofrecerte 
posteriormente publicidad orientada dentro de la red social. 

Es importante puntualizar que hay informacion que no- 
sotros controlamos si publicar o no en esta red social; sin 
embargo, existen muchos otros datos que Facebook recopila 
de nosotros a traves de sus trackers y que no podemos con- 
trolar. 


Twitter 

Twitter es una red social que nos ofrece un grado de anoni- 
mato superior a Facebook, pero en ningun caso un anonimato 
absoluto. Por ejemplo, a la hora de crearte la cuenta, Twitter 
registra la ubicacion desde donde fue creada y esta se queda 
guardada para siempre. Crearla a traves de Tor o de una VPN 
no garantiza un anonimato total, ya que la politica de Twit¬ 
ter contempla exigir sistematicamente al usuario un numero 
de telefono. Para solventar este inconveniente disponemos de 
pocas opciones, por lo que si al final lo que deseas es tener 
una cuenta totalmente anonima, tendras que ingeniartelas. 

Una vez creada la cuenta de Twitter, puedes anonimizar 
el origen de tu conexion mediante el uso de Orbot o de una 
VPN. 

Desde el menu de la aplicacion podremos configurar algunas 
opciones importantes para mejorar nuestra privacidad, pero, 
como siempre, es mas limitado que la version del navegador. 


Configuration y privacidad 

En Cuenta podras descargarte el fichero de datos que Twi¬ 
tter tiene sobre ti en Tus datos de Twitter. Recomendamos 
revisar el apartado Aplicaciones y sesiones para ver que 
aplicaciones externas a Twitter tienen permisos para acce- 
der a tu cuenta (como por ejemplo Twidere o TweetDeck), y 
en el caso de no utilizarlas, revocar estos permisos. Ademas, 
podras controlar en que dispositivos tienes la sesion acti- 
va en ese momento, pudiendo cerrarlas instantaneamente. 
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A1 final de este apartado encontraremos como desactivar 
nuestra cuenta. 

Seguidamente continua- 
remos con Privacidad 
y seguridad, en donde 
podremos: proteger 

nuestro perfil, seguidos 
y seguidores, ademas 
de los tuits (hacer nues¬ 
tra cuenta candado); 
desactivar el etiqueta- 
do de fotos para evitar 
que nos relacionen con 
personas o eventos 
determinados, y desac¬ 
tivar la confirmacion de 
lectura de los mensajes 
privados. 

Si escogemos que la 
cuenta sea privada, las 
personas que quieran 
ver nuestra actividad, 
tuits, “me gusta”, seguidos o seguidores necesitaran 
nuestra aprobacion. Corresponderia al nivel maximo de 
privacidad de cara a otros usuarios de la red social o pu¬ 
blico general de Internet. 

En el apartado Visibilidad y contactos, recomendamos 
deshabilitar que otras personas te encuentren por tu co- 
rreo electronico o tu numero de telefono, ademas de no 
sincronizar los contactos de tu libreta de direcciones. No 
olvidemos que toda la informacion que proporcionemos 
quedara grabada en los servidores de Twitter, aunque pos- 
teriormente la deshabilitemos. Twitter te da la opcion de 
eliminar todos los contactos que algun dia sincronizaste, 
pero no deja claro en ninguna parte que tambien lo haga 
de sus servidores. 



Privacidad y seguridad 


Tweets 


Protege tus Tweets □ 

Solo tus seguidores actuales y las personas que 
apruebes en el futuro podran ver tus Tweets. Mcis 
informacion 

Etiquetado de fotos 

Cualquiera te puede etiquetar 


Mensajes Directos 


Mensajes Directos 


Video en directo 


Conectar a Periscope □ 

Si seleccionas esta configuracion, puedes transmitiren 
directo y comentar en las transmisiones de Periscope, y 
los demas usuarios podran ver cuando estes mirando 
una transmision. Si la configuracion esta desactivada, 


"Ed i==P 
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En Ubicacion desactivaremos la ubicacion exacta. Mas 
abajo Twitter explica que si activas esta option, se dedi- 
cara a recopilar, almacenar y utilizar la ubicacion exacta 
de tu dispositivo para mejorar tu experiencia (mostrar- 
te anuncios de recomendaciones locales). Es por esto que 
nunca debemos activar esta option. 

Mas abajo podemos en- 
contrar Personalization 
y datos, donde podre- 
mos desactivar todas las 
opciones de publicidad 
orientada que ofrece Twi¬ 
tter. Puedes desactivar 
todas las opciones una 
por una o directamente 
en un boton en la parte 
superior, que sirve para 
deshabilitarlo todo. De 
nuevo, en Consulta tus 
datos de Twitter podras 
descargarte un fiche- 
ro con tus datos o bien 
consultarlos segun cate- 
gorias. 

Desde Pantalla y sonido 
en las opciones generates 
podremos desactivar el uso del navegador web interno de 
Twitter; esto es importante para evitar que recopile infor¬ 
mation de los enlaces externos a los que hagamos clic en 
la aplicacion. 


<- Personalizacion y datos 0ft 

Anuncios personalizados 

Los anuncios que ves en Twitter siempre 
dependeran de tu actividad en Twitter. Si activas 
esta configuration, Twitter podra personalizar 
los anuncios aun mas, dentro y fuera de Twitter, 
combinando tu actividad en Twitter con otras 
actividades en li'nea y con la information que 
proporcionan nuestros socios. Mas information 


Personalizar segun tus dispositivos 

Twitter siempre se personalizara en los dispositivos 
que usaste para iniciar sesion. Si activas esta confi¬ 
guration, Twitter tambien puede vincular tu cuenta 
de Twitter con otros dispositivos (los que nunca 
usaste para iniciar sesion en Twitter) para poder 
mediry mejorar tu experiencia. Mas informacibn 


Personalizar segun los lugares 
donde estuviste 

Twitter siempre usa determinada information, 
como el lugar donde te registraste y tu ubicacion 
actual, para mostrarte contenido mas relevante. Si 
activas esta configuration, Twitter tambien podra 
personalizar tu experiencia en funcion de los demas 
lugares en los que estuviste. 


Registrar donde ves contenido de 
Twitter en la web 

Estas visitas a paginas web no se almacenan ni 
se utilizan cuando estas en determinados pai'ses. 
Mas information 
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Instagram 

Instagram es una red social que en los ultimos anos se ha 
ido expandiendo, aumentando su numero de usuarios consi- 
derablemente. Desde que pertenece a Facebook, la red social 
ha experimentado cambios para asemejarse a esta y viceversa. 
Debido al gran numero de personas que la utilizan hoy en dia, 
hemos considerado necesario mencionarla. 

Para ocultar el origen de tu conexion, puedes hacerlo a 
traves de Orbot o de una VPN, y ademas configurar el cliente 
del movil con las opciones que te detallamos a continuacion 
para aumentar un poco mas el control de tus datos. 

Desde nuestro perfil, entraremos dentro de la opcion 
Configuration situada arriba a la derecha, donde nos encon- 
traremos con: 


Cuenta 

En este apartado podremos elegir que nuestra cuenta sea 
privada, es la manera mas sencilla y rapida de proteger tu 
contenido hacia otros usuarios. Asi puedes asegurarte de que 
solo quien aceptes podra ver tus fotos, videos, seguidos/segui- 
dores o actividad. 

En Instagram no existe otra manera de poder ocultar tus 
seguidos/seguidores, los basbtags que sigues o la actividad 
que generas. Ten en cuenta que desde la pestana V puedes 
observar la actividad de quienes sigues; esto incluye los co- 
mentarios y likes a los contenidos de otros usuarios o a quien 
comienzan a seguir. 


Privacidad y seguridad 

Privacidad de la cuenta. De nuevo nos deja escoger que 
nuestra cuenta sea privada. Recomendamos marcar esta 
opcion para ocultar por defecto tu actividad a cualquier 
usuario que no desees aceptar. 
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Estado de actividad. Des- 
marcando esta opcion 
nos aseguramos de que 

<— Configuracion 

Privacidad y seguridad 

nadie pueda controlar 

Privacidad de la cuenta 

si estamos actualmente 
interactuando en la red 

Cuentas bloqueadas 

social 0 cuando fue la 

Estado de actividad 

ultima vez que estuvimos 
conectados. 

Volver a compartir en historias 

Controles de historias 

Volver a compartir en 

Controles de comentarios 

bistorias. Esta opcion 
permite que otros usua- 

Fotos y videos en los que apareces 

rios decidan compartir 

Cuentas vinculadas 

nuestra historia asociada 
a nuestro usuario desde 

Datos de la cuenta 

su propia cuenta, sin 

Autenticacion en dos pasos 

necesidad de pedirnos 

Descarga de datos 

permiso. Para un mayor 
control de tus historias 

ta q © $ 


publicadas es recomendable desactivar esta opcion. 


Controles de bistorias. En este apartado podremos decidir 
a que usuario queremos ocultar las historias que publi- 
camos. Tambien podremos decidir quien puede enviarnos 
un mensaje a traves de la historia publicada. Recomenda- 
mos de nuevo desactivar la opcion Fermitir compartir las 
historias destacadas, esto servira para que las historias fi- 
jadas a nuestro perfil principal no puedan ser compartidas 
en perfiles ajenos sin nuestro permiso. 

Seguidamente denegaremos el permiso a compartir nues- 
tras publicaciones e historias en Facebook para disminuir 
la correlation de information entre nuestras cuentas. 

Fotos y videos en los que apareces. Aqui podremos desac¬ 
tivar la opcion de que las imagenes o videos donde seamos 
etiquetados por otras personas se anadan directamente a 
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nuestro perfil, e incluso ocultarlos. De esta manera no 
podran relacionarte tan facilmente con otras personas o 
con determinados eventos y situaciones que puedan dar 
mayor informacion de ti. 

En Cuentas vinculadas vigilaremos que no tengamos 
ninguna otra red social asociada a nuestra cuenta. Es 
importante recordar que si utilizas el mismo correo elec- 
tronico en todas ellas, compartes tu numero de telefono, 
o simplemente conectandote desde el mismo dispositivo 
a Facebook e Instagram, automaticamente se estara com- 
partiendo cierta informacion entre ellas sin que tu puedas 
elegir no hacerlo, como por ejemplo contactos o intereses 
para poder recomendarte en cada red social lo que sea 
mas afin a ti. 

Podras descargarte una copia de tu actividad en Insta¬ 
gram en la opcion Descarga tus datos para hacerte una 
idea de la informacion que has ido generando. Recuerda 
que al igual que en las otras redes sociales, existe mucha 
informacion que no estan obligados a proporcionarte 
actualmente, pero que recopilan de ti y sobre la que has 
perdido todo el control. 

Manten la opcion Sincronizacion de contactos desactiva- 
da para que no pueda apropiarse de tu agenda y guardar 
una copia en sus servidores. Siempre es mas recomendable 
buscar a la persona directamente antes que ceder estos 
datos a la empresa. 
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WhatsApp 

Aunque WhatsApp no sea una red social como tal, sino 
una aplicacion de mensajeria instantanea, hemos considerado 
oportuno mencionar cuatro consejos basicos para mejorar tu 
privacidad a la hora de usarla. 

Si vamos a las opciones de Ajustes , desde el apartado 
Cuenta encontramos un subapartado llamado Privacidad 
donde podremos restringir quien puede ver nuestra infor¬ 
macion personal (horario de conexion, las fotos de perfil, 
el estado, la informacion y la ubicacion en tiempo real). 
Es aconsejable restringir al maximo estas opciones, y es- 
pecialmente desactivar la ubicacion en tiempo real. 

WhatsApp pertenece a Facebook, esto quiere decir que 
ambas plataformas intercambian informacion personal. Si 
bien es cierto que los chats de WhatsApp estan cifrados, 
hemos de ser conscientes de que haciendo uso de esta apli¬ 
cacion generamos ciertos metadatos que proporcionan 
bastante informacion sobre patrones de conducta. Por 
ejemplo, con que personas hablamos mas, con que grupos 
de gente solemos tener mayor intercambio de mensajes, 
nuestros horarios de uso habitual de la aplicacion, etc. 
Esta informacion ya ha sido utilizada por Facebook sin 
nuestro consentimiento en el pasado 35 , por lo que nadie 
nos dice que no puedan volver a hacer uso de ella. 

Las copias de seguridad que WhatsApp hace de nuestros 
chats son archivos cifrados que solamente la aplicacion 
puede descifrar. Sin embargo, el resto de archivos (mensa¬ 
jes de voz, fotos de perfil, imagenes enviadas o recibidas) 
se guardan en claro, sin cifrar. Esto quiere decir que si ha- 
cemos copias de seguridad y las subimos a Google Drive 
o iCloud (en el caso de iPhone), desde Google o Apple no 



35 


Vease https://www.elmundo.es/tecnolo- 
gia/2018/03/15/5aaa4546468aebl96f8b45f0.html. 
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podrian descifrar los mensajes de texto sin que la empresa 
WhatsApp les diese la clave para ello, pero el resto de ar- 
chivos estara en la nube en claro. Por tanto, desde Criptica 
no recomendamos que las copias de seguridad del servicio 
se suban a Google Drive o iCloud, sino que se guarden 
en el telefono y posteriormente se haga una copia en otro 
dispositivo de manera cifrada, por ejemplo un pendrive. 

Si alguna vez activaste la opcion de guardar en Google 
Drive o iCloud, podras desactivarla rapidamente desde el 
apartado Copia de seguridad, en la opcion Chats dentro 
de Ajustes. 
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Alternativas 

Actualmente existen redes sociales alternativas, libres, 
descentralizadas y que son respetuosas con tu privacidad. 
Este numero va in crescendo ano tras ano, y si bien aun tie- 
nen cosas a mejorar en lo que a la seguridad respecta, son una 
buena alternativa si no quieres renunciar a ella. 

Mastodon (https://mastodon.social), al igual que Quitter, 
es una red social con cierto parecido a Twitter. Esta dis- 
tribuida en distintos servidores independientes, llamadas 
“instancias”, unificados, permitiendo interactuar entre 
ellos. Puedes crearte una cuenta en cualquier servidor e 
interactuar con usuarios que pertenezcan a otros. 

Quitter / GNE1 Social (https://quitter.es) es una red social 
distribuida en distintos servidores independientes que pue- 
den comunicarse entre si. Independientemente del servidor 
donde te hayas creado la cuenta, podras interaccionar con 
los usuarios de los otros servidores. Tiene cierto parecido 
a una version antigua de Twitter, con la diferencia de que 
cada servidor pone sus reglas, con lo que en algunos el 
texto esta limitado a 140 caracteres y en otros a 240 o 
incluso 1000. 

Diaspora"' (https://diasporafoundation.org/) consiste en 
un grupo de servidores independientes (los llamados pods ) 
que interactuan entre ellos para formar la red social. 
Estos servidores son mantenidos por muchos individuos 
e instituciones diferentes. Cada uno de ellos actua como 
un servidor web personal con una copia del software de 
Diaspora. Al igual que Mastodon, puedes interactuar con 
usuarios de otros servidores. 



SEGURIDAD 

INSTRUMENTAL 


APLICACIONES PARA 
MEJORAR TU SEGURIDAD 




i Atencion! 

Peligro de obsolescencia 


Estas herramientas fueron analizadas en el ultimo tri- 
mestre del ano 2018. Cuanto mas se aleje la lectura a nivel 
temporal, mas probable es que alguna de ellas haya queda- 
do obsoleta, se hayan descubierto nuevas vulnerabilidades o 
que nuevas aplicaciones hayan tornado el relevo de las que 
aqui recomendamos. Por ello, aconsejamos que las resenas se 
lean de acuerdo con la necesidad humana que cada una de las 
aplicaciones busca satisfacer, y no como herramientas impe- 
recederas, imperturbables al paso del tiempo. 
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Comparativa de 
mensajeria instantanea 

Pensar en clave adversarial: 
contexto y modelo de amenaza 

Como hemos ido viendo a lo largo de este libro, la seguri- 
dad absoluta no existe como tal, y las medidas que debemos 
tomar para proteger nuestra privacidad varian en funcion del 
contexto y del modelo de amenaza al que nos enfrentemos. 
Sabido es que no es lo mismo enfrentarse a un adversario de 
tipo estatal que empresarial, o a alguien con conocimientos 
de nuestro entorno social cercano. Ademas, para el caso de la 
mensajeria instantanea, entran en juego unos cuantos factores 
mas que debemos tener en cuenta a la hora de decidir que pla- 
taforma usar en cada caso: tampoco existe en esto una regia 
de oro, aplicable a todos los contextos por igual. 

Nuestra actuation en este sentido debe ir orientada de 
acuerdo con las capacidades del adversario del cual nos que- 
remos proteger: cada uno tiene distintas formas de acceder a 
nuestra information, de manera que las medidas de protec- 
cion que utilizaremos deberian ser sustancialmente distintas 
unas de otras 36 . 

Por consiguiente, el objetivo de este capitulo no puede ser 
el de recomendar una aplicacion de mensajeria en terminos 


36 Si nuestro adversario fuera la empresa de mensajeria 
instantanea que gestiona los servidores, debemos tener 
en cuenta que, a pesar de no tener acceso fisico a nuestro 
dispositivo, si que tiene acceso a nuestros mensajes en 
caso de no estar utilizando una herramienta que cifre de 
dispositivo a dispositivo (E2E, explicado en la siguiente 
section). Si, por el contrario, se trata de una persona de 
nuestro entorno cercano, debemos cuidar de que no gane 
acceso fisico al dispositivo, ya sea para instalar aplicacio- 
nes maliciosas o para leer nuestros mensajes. 
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generales, haciendo abstraccion de las circunstancias particu¬ 
lars de cada persona, sino mas bien desglosar algunos de los 
factores ya mencionados, los cuales tendremos que valorar 
pausadamente antes de tomar la decision de utilizar o no de- 
terminada plataforma de comunicacion. Asimismo, en la parte 
final entraremos a considerar que caracteristicas cumplen las 
aplicaciones de mensajeria instantanea para smartphone mas 
conocidas. 


Cifrado E2E 

Uno de los factores a tener mas en cuenta siempre que es- 
tablezcamos comunicaciones digitales con otras personas, es 
el de tener acceso a mecanismos de cifrado, con tal de que una 
tercera persona que estuviera escuchando el trafico del canal 37 
no pueda obtener el contenido de los mensajes. Y mas concre- 
tamente, el tipo de cifrado que nos interesa en este caso es que 
sea de dispositivo a dispositivo (en terminos tecnicos, cifrado 
end-to-end o simplemente E2E), puesto que proporciona las 
mejores condiciones para una comunicacion segura, por en- 
cima de alternativas como el cifrado de cliente a servidor. En 
este ultimo caso, el contenido de la comunicacion queda ex- 
puesta a los ojos de quien controla el servidor u otros actores 
que consiguieran acceso al mismo. 

El cifrado de dispositivo a dispositivo significa que el men- 
saje que Alice le manda a Bob se cifra en el mismo dispositivo 
de Alice, y solamente se descifra al llegar al de Bob. Con lo 
que si alguien estuviera tratando de monitorizar el canal (ya 
sea el propio servidor en el que se establece la comunicacion 
o un atacante externo), no tendria acceso al contenido de los 
mensajes como tal. Concluimos, por lo tanto, que una de las 
principales caracteristicas en la que nos fijamos como asocia- 
cion es que la aplicacion tenga habilitado por defecto este tipo 


37 


Escuchar el trafico es analizar las comunicaciones que 
mantienen diferentes dispositivos en un mismo canal. 
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de cifrado, sin depender de que el usuario tenga que activar 
ninguna configuration especial. 


Borrado automatico de los mensajes 

El acto de cifrar es fundamental cuando se trata de comu- 
nicarnos de manera segura con otras personas. Imaginemos, 
no obstante, que Alice recibe los mensajes de Bob a traves 
del cifrado anteriormente descrito, el E2E (el mejor de todos 
los que podemos elegir). Una vez llegan a su dispositivo, la 
aplicacion los descifra automaticamente para que Alice pueda 
leerlos en la pantalla de su smartphone. Por consiguiente, si 
alguien accediera al telefono de Alice podria exponer tanto 
a Bob como a ella, puesto que tendria acceso a la totalidad 
de los mensajes descifrados. Es fundamental recordar que la 
seguridad proporcionada por el cifrado de las aplicaciones se 
limita unicamente a la fase de transmision de los mensajes, 
pero no otorga ninguna protection especial a los mensajes ya 
almacenados en el telefono. 

Una vez los mensajes llegan a nuestro dispositivo, su con- 
fidencialidad deja de depender de la arquitectura de seguridad 
de la aplicacion, haciendo que tengamos que contemplar me- 
didas adicionales. Una forma de asegurarnos de que nuestras 
conversaciones no queden comprometidas es, naturalmente, 
borrar los mensajes una vez los hemos leido. De esta forma, si 
una tercera parte interviniese el dispositivo, no podria leer el 
contenido de los mismos. Entra pues dentro de nuestros inte- 
reses buscar aplicaciones que dispongan de opciones para que 
los mensajes se borren del dispositivo pasado cierto tiempo de 
su reception. 


Los riesgos de revelar tu numero de telefono 

Cuando usamos una aplicacion de mensajeria instan- 
tanea, necesitamos algun tipo de identificador para que las 
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demas personas puedan encontrarnos, con vistas a iniciar una 
conversation. 

Una buena cantidad de servicios utilizan el numero de te¬ 
lefono como identificador publico. Asi, para establecer una 
comunicacion con otra persona o grupo, tenemos que darles 
nuestro numero personal, que en muchos paises (caso de Es- 
pafia) se encuentra forzosamente vinculado a una identidad 
legal (habitualmente, la del usuario que utiliza el dispositivo 
o de alguien de su entorno mas cercano). Cuando se trata de 
contactos de confianza, esto no suele entranar riesgos para la 
privacidad, a pesar de que les estemos dando la posibilidad 
tecnica de averiguar la identidad real que se esconde tras un 
numero de telefono: confiar en alguien significa tener la segu- 
ridad de que hara todo lo posible porque las informaciones 
que le entreguemos no acaben comprometidas o en manos de 
un adversario. 

Sin embargo, cuando se trata de contactos de menor con¬ 
fianza, el acto de dar a conocer nuestro numero puede ser 
demasiada information. Es el caso de muchos grupos de chat, 
habitualmente creados por afinidad politica o al calor de de- 
terminados acontecimientos, que al recurrir a plataformas 
que dependen del mencionado numero estan creando a su vez 
una jugosa base de datos ideologica, vinculada a identidades 
reales. Esto supone un riesgo para la privacidad desde el mo- 
mento en que cualquier componente del grupo puede conocer 
los numeros asociados al resto de participantes, adquiriendo 
la posibilidad de vincular personas reales a determinadas opi- 
niones o posicionamientos de caracter politico. Naturalmente, 
esto no seria un riesgo estructural si todos los miembros 
fueran de nuestra plena confianza, pero es frecuente encon¬ 
trarnos en la situation de no poder poner la mano en el fuego 
por cada uno de los participantes, especialmente cuando se 
trata de grupos de mucha gente y creados a toda prisa. 

Por ello, es posible que una de las caracterfsticas que aca- 
bemos buscando en el proceso de decidir una aplicacion antes 
que otra, es no tener que darle nuestro numero de telefono 
para ser empleada. O en el caso de que esto no fuera posible, 
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al menos elegir un servicio que no le revelara al resto de per¬ 
sonas nuestro numero personal. 


La ausencia de actividad tambien 
revela informacion 

Igual que de cada proceso comunicacional pueden extraer- 
se informaciones que ayudan a contextualizar la interaction 
(interlocutores, duration, tamano de los mensajes), tambien 
la «no comunicaci6n» o la ausencia de interlocuciones en 
determinados momentos del dia es reveladora de algun tipo 
de information. Pongamos, por ejemplo, una conversation 
de chat entre dos personas, Alice y Bob. Un tercer individuo, 
Chuck, anda analizando el trafico de los mensajes, a pesar de 
no poder leer el contenido de los mismos (si se tratara de un 
chat cifrado). Cuando Alice y Bob dejan de intercambiarse 
mensajes, Chuck tiene constancia de esta interruption, por- 
que la actividad del canal cesa. Analizando esta carencia de 
interlocuciones en ciertas horas del dia, Chuck puede especu- 
lar con los motivos por los cuales el proceso comunicacional 
ha parado (ya sea porque uno de los dos ha empezado su 
jornada laboral, por ser temprano por la maiiana, o porque se 
ha ido a dormir, en caso de que sea a altas horas de la noche). 

Siguiendo con el ejemplo, pongamos que Chuck no so- 
lamente analiza los intercambios de mensajes entre Alice y 
Bob, sino de todas las conversaciones de Alice. Teniendo esta 
informacion, el individuo a la escucha bien podria acabar di- 
bujando un mapa horario general de las comunicaciones de 
Alice, con vistas a obtener los habitos de conexion de ella, 
asi como sus pautas frecuentes de interaction 38 . Ademas, si la 


38 ;Por que Alice responde muy tarde a los mensajes de Bob, 

mientras que contesta practicamente al instante los de Gra¬ 
ce? La rapidez dando una respuesta suele ser un indicador 
de cercania, personal o laboral, con la otra persona. iPor 
que Alice empieza a contestar sus mensajes a las siete de la 
manana? Probablemente porque esa sea la hora exacta a la 
que se despierta. 
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aplicacion de chat que usa Alice revelara detalles de cuando 
esta conectada o «en linea» (caso de WhatsApp), Chuck po- 
dria complementar su investigacion con informacion de las 
horas en que tiene esa plataforma abierta en su dispositivo 
(aunque no intercambie mensajes), obteniendo un patron ho- 
rario todavia mas preciso. 

Consecuentemente, uno de los factores que debemos tener 
en cuenta a la hora de comunicarnos a traves de este tipo 
de aplicaciones sera el de proteger adecuadamente nuestros 
patrones horarios reales, ya sea utilizando herramientas que 
no revelen cuando estamos en linea o leemos los mensajes, 
que no tengan un interes comercial o politico en monitorizar 
nuestra actividad o que contemplen maneras de dificultar esta 
clase de seguimientos por parte de terceros. 


Descentralizacion 

La seguridad en un sistema de mensajeria no depende en 
exclusiva del tipo de cifrado implementado para asegurar la 
confidencialidad de los mensajes, sino tambien de la topologia 
de la red, es decir, del grado de centralizacion de su estructura. 
Si hacemos uso de un sistema centralizado en un unico ser- 
vidor, estamos otorgando al proveedor del servicio un poder 
inusitado, puesto que puede bloquear arbitrariamente nues- 
tras comunicaciones y monitorizar nuestra actividad en caso 
de caer bajo su interes. 

Para evitar situaciones como la descrita, precisamos de 
sistemas descentralizados, los cuales no dependen de un ser- 
vidor central para llevar a cabo el proceso comunicacional. 
Asi, estaremos disminuyendo las cuotas de poder que recaen 
en manos de los proveedores de los distintos servicios, con tal 
de prevenir un potencial abuso. No obstante, es preciso tener 
en cuenta que, en caso de utilizar tecnologia descentralizada 
pero con una gran cantidad de gente usando el mismo nodo 
para acceder a la red, estaremos recentralizando la red en 
ese nodo: un sistema descentralizado no asegura nada por el 
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mismo, precisamos tambien de una arquitectura distribuida, 
que evite la concentration del poder en pocos nodos. 


Disponibilidad del codigo 

La busqueda de una seguridad efectiva genera la necesi- 
dad de una transparencia por parte del servicio que estamos 
utilizando. Cuando no se tiene acceso al codigo de progra- 
macion de la aplicacion (su mecanismo interno, la necesaria 
sala de maquinas de la que precisa cualquier herramienta 
para funcionar), lo que el desarrollador nos pide es un acto 
de fe: confiar en la integridad del servicio gracias a su sola 
palabra. Desde la perspectiva que nos ocupa, esta es una exi- 
gencia inasumible, puesto que, idealmente, un buen sistema 
de seguridad deberia permanecer abierto para su meticulosa 
revision y mejora, con tal de verificar no solamente su efecti- 
vidad mas alia del discurso, sino para asegurarnos tambien de 
que no contiene funciones ocultas, que pudieran menoscabar 
la integridad de la herramienta. Sin un acceso transparente al 
codigo, toda seguridad acaba siendo siempre relativa. 

Nuestra experiencia particular nos ha llevado a desarrollar 
una desconfianza instintiva frente a la mera palabra, que bajo 
ningun concepto puede ser sustitutiva de un acceso integral al 
codigo. Su condition de disponibilidad suele garantizar que 
una mayor cantidad de personas hayan podido revisarlo (no 
solamente unas pocas), de manera que el numero de vulnera- 
bilidades ocultas sea (potencialmente) menor. Las exigencias 
de una seguridad robusta nos llevan, por lo tanto, a delegarla 
en aplicaciones con el codigo de programacion publicamente 
disponible, en oposicion a los modelos cerrados que no per- 
miten verificar nada. Y dentro de esta condition, tendremos 
preferencia por el software libre, que permite la mejora de la 
herramienta gracias a la participation activa de la comunidad. 
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Modelo de financiacion 

Cada dia mas, el modelo de financiacion de la aplicacion 
(o, en su defecto, del organismo que la administra) tiene una 
importancia mayor, dado que puede condicionar todos los 
anteriores criterios que hemos ido exponiendo. El fructifero 
negocio de los datos se ha convertido, en la era digital, en una 
de las principales fuentes de ingresos de las empresas desarro- 
lladoras, que han pasado a tener un interes comercial directo 
por registrar, almacenar y analizar la informacion que genera- 
mos con nuestros dispositivos moviles. Por lo tanto, al utilizar 
herramientas que recopilan este tipo de datos con el objetivo 
de crear perfiles de cliente, estaremos cediendo a la empresa 
parcelas considerables de nuestra privacidad. 

Existen distintos tipos de datos a partir de los cuales 
hacer negocio: desde los horarios de conexion, hasta la explo- 
tacion de determinadas funcionalidades del telefono (ya no 
es ningun secreto que Instagram registra, gracias a su acceso 
al microfono, el ruido de ambiente para ofrecer publicidad 
personalizada) 39 . En lo que respecta a las aplicaciones de men- 
sajeria, el negocio suele residir en los metadatos, esto es, en 
el analisis tanto del grafico social (personas con las que uno 
se comunica de entre todas las de su agenda, para sondear 
su grado de cercania gracias a la frecuencia de las interaccio- 
nes), como de los patrones temporales de conexion (de los 
que se puede extraer un esquema de nuestra vida diaria: tipo 
de regimen laboral u horas de sueno). Y es que, por mucho 
que usemos una aplicacion que proteja el contenido de los 
mensajes con el mejor cifrado posible, si existe un interes cor- 
porativo por recabar los mencionados metadatos, una buena 
parte de nuestra informacion personal permanecera suscepti¬ 
ble de explotacion comercial. 


Una de las primeras denuncias en este sentido fue la de 
Damian Le Nouaille-Diez, en septiembre del 2017: https:// 
medium.com/@damln/instagram-is-listening-to-you- 


97e8f2c53023. 


39 
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El modelo de negocio condiciona seriamente la seguri¬ 
dad y privacidad de una herramienta. Como respuesta, entra 
dentro de nuestros intereses directos recurrir a aplicaciones 
cuyo modelo de negocio (y, por ende, de sostenibilidad) no 
dependa en modo alguno de sacar provecho economico de 
la information que generamos al utilizarlas. Apostamos por 
servicios que no basen su sostenibilidad financiera en el lu- 
crativo negocio de los datos, un mercado en pleno apogeo 
que compromete notablemente nuestros esfuerzos por hallar 
privacidad. 


Protegerte como forma de proteger 
a las personas de tu alrededor 

La faceta social del smartphone conlleva que fragmen- 
tos de nuestra identidad se transmitan de manera constante 
a dispositivos que no son el nuestro: notas de voz, mensa- 
jes intimos, opiniones politicas o fotografias, entre muchos 
otros, quedan dispersos y en manos de nuestro entorno desde 
el momento en que decidimos transmitirlos. Es por eso que 
todos los criterios anteriormente expuestos pueden ser com- 
pletamente superfluos si el dispositivo de alguien de nuestro 
entorno llega a quedar comprometido. Por mas que nuestro 
telefono tenga las ultimas actualizaciones de seguridad, si el 
que se situa al otro extremo de la comunicacion no tiene el 
mismo grado de cautela, una buena parte de nuestra identi¬ 
dad sera facilmente accesible para nuestros adversarios. 

Si alguien toma la decision personal de no protegerse, su 
decision individual repercute ipso facto en la seguridad y pri¬ 
vacidad del conjunto de comunidades de las que forma parte. 
La seguridad es un deporte de equipo: intentemos que la to- 
talidad de nuestro entorno habilite un codigo de desbloqueo 
y cifre el aparato para evitar que terceras personas puedan 
acceder a su contenido, que en buena medida sera contenido 
que puede exponer tambien a su red de contactos. 
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Analisis de aplicaciones 

Una vez expuestos los distintos criterios de privacidad, 
corresponde al lector la laboriosa tarea de evaluar cuales son 
sus exigencias particulares de seguridad, con tal de elegir una 
aplicacion de mensajeria capaz de sufragarlas. Asimismo, es 
probable que nuestras necesidades cambien segun el escenario 
en el que nos encontremos, de modo que es casi inevitable 
tener que recurrir a distintas plataformas para obtener el tipo 
de protection que deseamos en cada momento. Como aso- 
ciacion, no podiamos caer en la tentacion de recomendar un 
servicio en concreto, que tuviera que ser usado incondicional- 
mente y al margen de las circunstancias de la comunicacion 
(nada mas opuesto a nuestra cultura que las soluciones per- 
manentes). Consecuentemente, si queremos crear una cultura 
de la privacidad, resultara indispensable que como usuarios 
hagamos un esfuerzo por hacer transparentes nuestras deman- 
das de seguridad en la mensajeria, con el objetivo de escoger 
la aplicacion correcta para cada caso 40 . 

Anadimos a continuation un esquema que repasa algunas 
de las caracteristicas mencionadas anteriormente, aplicadas a 
las aplicaciones de mensajeria mas populares. Sobra decir que 
ni es la tabla definitiva, ni contiene todas las caracteristicas 
existentes: es solo un pequeno apoyo a tener en cuenta, que 
puede ayudar a elegir la aplicacion adecuada en cada mo¬ 
mento, sin olvidar su condition temporal. La tabla no deja 
de representar una imagen congelada del panorama en el mo¬ 
mento de escribir este libro (ultimo trimestre del ano 2018, 
insistimos), conque sera preciso atender a posibles cambios en 
el funcionamiento de cada servicio conforme el tiempo pase, 


40 Por ejemplo: cuando se trate de comunicaciones con per¬ 
sonas proximas y de confianza, primara disponer de cifra- 
do E2E, y probablemente no sera un problema que la otra 
parte conozca nuestro numero de telefono. Sin embargo, 
habra otro tipo de comunicaciones (grupos abiertos o con 
individuos en los que no podamos confiar) donde resul¬ 
tara jerarquicamente mas importante no revelar nuestro 
numero de telefono, por encima incluso del cifrado E2E. 
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de manera que nuestra seguridad no quede comprometida 
por confiar demasiado en la palabra de un manual que, tarde 
o temprano, pasara a la condicion de reliquia. 



SMS . El sistema de identificacion requiere un nume- 
ro de telefono, que se muestra a los contactos con 
los que interactuamos. No existe la posibilidad de 
acceder al cifrado E2E, de modo que la totalidad de 
los mensajes que intercambiamos son completamen- 
te legibles a ojos del operador de telefonia. 


WhatsApp. El sistema de identificacion requiere un 
numero de telefono, que se muestra a los contactos 
con los que interactuamos. Usa siempre cifrado E2E, 
tanto en chats individuals como grupales. El mode- 
lo de negocio de la empresa (Facebook) consiste de 
manera exclusiva en la compraventa de datos con 
fines comerciales, ademas de cruzar (potencialmente) 
la informacion obtenida con las redes sociales Face- 
book e Instagram para tener unos perfiles de cliente 
mas detallados. Su arquitectura es centralizada y su 
codigo es completamente privativo. 

© Telegram. El sistema de identificacion requiere un 
numero de telefono, aunque no lo expone al resto 
de usuarios del servicio. El cifrado E2E se limita a 
los chats secretos, que se tienen que habilitar ma- 
nualmente. Ni las conversaciones predefinidas ni los 
grupos tienen disponible este tipo de cifrado, sien- 
do su contenido legible para Telegram. El modelo 
de negocio de la empresa (Telegram) sigue siendo 
un misterio, con la unica certeza de que delega en 
buena medida en la figura de Pavel Durov 41 . Ofre- 
ce la opcion de autoborrado, aunque solo en los ya 



4i 


Pavel Durov es un multimillonario ruso del sector de las 
nuevas tecnologias, creador entre otros de la red social VK 
y Telegram. 
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mencionados «chats secretos», en los cuales tiene 
que ser activada de forma manual. Su arquitectura 
es centralizada y solamente el cliente es de codigo 
abierto. 



Signal. El sistema de identification requiere un nu- 
mero de telefono, que se muestra a los contactos 
con los que interactuamos. Usa siempre cifrado E2E, 
tanto en chats individuales como grupales. Ofrece la 
option de autoborrado para ambos tipos de chats. 
Lo administra una fundacion sin animo de lucro 
(Signal Foundation) fuertemente comprometida con 
la privacidad. Su arquitectura es centralizada y tanto 
las aplicaciones de cliente como el servidor son de 
codigo abierto. 


| H | Wire. El sistema de identification no requiere nece- 
sariamente un numero de telefono, siempre y cuando 
registremos la cuenta a traves del sitio web oficial. 
Usa siempre cifrado E2E, tanto en chats individuales 
como grupales. El modelo de negocio de la empre- 
sa (Wire Swiss), pese a no ser un completo enigma 
(dado que tienen una version de pago para empre- 
sas), podrfa ser mas transparente. Su arquitectura es 
centralizada y tanto las aplicaciones de cliente como 
el servidor son de codigo abierto. 



Matrix (Riot). El sistema de identification no re¬ 
quiere un numero de telefono. Existe la posibilidad 
de acceder al cifrado E2E tanto en las salas de chat 
individuales como grupales, pero se tiene que habi- 
litar de forma manual (hasta entonces, permanecen 
legibles a ojos de quien gestiona el servidor). Lo ad¬ 
ministra una fundacion sin animo de lucro (Matrix, 
org Foundation). Su arquitectura es federada y tanto 
las aplicaciones de cliente como el servidor son de 
codigo abierto. 




APLICACION 

CIFRADO E2E 

AUTOBORRADO 
DE MENSAJES 

IDENTIFICACION 
CON NUMERO DE 
TELEFONO 

SMS 

NO 

NO 

SI 

WHATSAPP 

SI 

NO 

SI 

TELEGRAM 

Solo en los chats 
secretos (no aplica- 
ble en grupos) 

Solo en los chats 
secretos habilitado 
manualmente 

SI 

SIGNAL 

SI 

SI, aunque debe 
ser habilitado 
manualmente 

SI 

WIRE 

SI 

NO 

No necesaria en caso 
de activar la cuenta a 
traves de la web 

MATRIX 

(RIOT) 

SI, aunque debe 
ser habilitado 
manualmente 

NO 

No necesaria 












NUMERO DE 
TELEFONO 
EXPUESTO 

ARQUITECTURA 

DISPONIBILIDAD 
DEL CODIGO 

MODELO DE 
NEGOCIO 

SI 

CENTRALIZADA 

- 

EMPRESA 

SI 

CENTRALIZADA 

NO 

EMPRESA PROPIEDAD 
DE FACEBOOK INC. 

APUCACION 

CENTRALIZADA 

SI 

EMPRESA 

SI 

CENTRALIZADA 

SI 

FUNDACION SIN 
ANIMO DE LUCRO 

NO 

CENTRALIZADA 

SI 

EMPRESA 

NO 

SISTEMA 

FEDERADO 

SI 

FUNDACION SIN 
ANIMO DE LUCRO 













Aplicaciones respetuosas 
con tu privacidad 


A continuation, el lector encontrara un pequeno listado de 
resenas de aplicaciones que se adecuan a los criterios de priva¬ 
cidad y seguridad mencionados en la introduction del libro. 
Dicha lista no abarca la totalidad de aplicaciones existentes y 
no se rige por un orden de tipo jerarquico: unicamente quiere 
ser una referencia para ilustrar algunas alternativas seguras a 
las aplicaciones y servicios mayoritarios. 
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DAVx5 (anteriormente DAVdroid) 

Alternativa al calendario de Google en Android 
(disponible nativamente en iOS) 
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Description: 

Esta aplicacion permite sincronizar el calendario de Android 
y otras aplicaciones de calendario como Etar mediante el pro- 
tocolo CalDAV, ofrecido por muchos proveedores de correo 
electronico alternativos. Es la alternativa ideal al calendario 
de la cuenta de Google. 

Caracteristicas de privacidad: 

Si sincronizamos nuestro calendario con un proveedor de 
correo que respete nuestra privacidad, tendremos mayor con- 
fianza en que no haya nadie que espie los detalles de nuestra 
agenda personal. 
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F-Droid 

Alternativa a Google Play Store en Android 
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Description: 

Repositorio de aplicaciones con una funcionalidad similar a 
Google Play Store, ofreciendo tan solo aplicaciones cuya li- 
cencia es libre. 

Algunas de las caracterfsticas son: 

Permite anadir nuevos repositorios (por ejemplo, The 
Guardian Project). 

Notificaciones cuando las aplicaciones instaladas tienen 
actualizaciones. 

Description de la aplicacion (en algunos casos con cap- 
turas de pantalla), asi como valoracion de caracteristicas 
que puedan no ser respetuosas con la privacidad. 

Listado de aplicaciones recientemente actualizadas (ideal 
para descubrir nuevas aplicaciones). 

Permite compartir aplicaciones instaladas en un telefono 
con otro terminal sin necesidad de conexion a Internet. 

Caracteristicas de privacidad: 

F-Droid solo ofrece aplicaciones cuya licencia es libre y que 
tienen su codigo disponible publicamente. Este hecho ayuda a 
establecer confianza en que la aplicacion no tendra funcionali- 
dades ocultas que espien al usuario. Ademas, las descripciones 
de las aplicaciones indican en que casos estas usan servidores 
de terceros que podrian obtener datos del usuario. 
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Firefox 

Navegador web para Android e iOS 
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Description: 

Navegador web desarrollado por Mozilla, una fundacion sin 
animo de lucro comprometida con la privacidad y la cultura 
libre. Firefox dispone de complementos que permiten mejorar 
nuestra privacidad al navegar por la web. 

Caracteristicas de privacidad: 

Firefox permite habilitar complementos de privacidad desde 
su pagina de descargas, accesible desde el menu. Consulta la 
section «Navegacion y privacidad» para saber mas al respec- 
to. 
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K-9 Mail 

Gestor de correo para Android 
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Description: 

Cliente de correo electronico (equivalente a Thunderbird en 
PC) que nos permite acceder, leer y enviar correos electroni- 
cos desde nuestro dispositivo Android. 

Caracteristicas de privacidad: 

K-9 Mail es un cliente de correo de codigo abierto en el que 
podemos configurar una cuenta de correo de cualquier pro- 
veedor que soporte los protocolos de correo estandar (POP3, 
IMAP, SMTP). 

Esta aplicacion, junto con el uso de un proveedor de correo 
electronico etico, supone una mejora considerable de nuestra 
privacidad respecto a aquellos proveedores cuyo modelo de 
negocio son nuestros datos. 

Ademas, se puede integrar con OpenKeyChain para enviar 
correos cifrados. Si usamos PGP para proteger nuestros co¬ 
rreos y queremos poder seguir haciendolo desde nuestro 
smartphone, esta es una buena option. 
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KeePassDroid 

Gestor de contrasenas para Android (en iOS: MiniKeePass) 
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Description: 

Aplicacion que permite consultar y anadir contrasenas a una 
base de datos cifrada, y que ademas es compatible con Kee- 
Pass, su equivalente de escritorio. 

Util para llevar claves encima de forma segura. Accede a tu 
base de datos cifrada para copiar tus contrasenas cuando lo 
necesites y no tener que recordarlas. 

Caracteristicas de privacidad: 

El uso de contrasenas cortas e inseguras puede ser catastrofico 
para nuestra privacidad. Usar un gestor de contrasenas es una 
forma muy practica de poder tener una contrasena diferen- 
te y segura para cada servicio sin necesidad de memorizarlas 
todas. 
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ObscuraCam 

Aplicacion de fotografias para Android 
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Description: 

Aplicacion que ofrece al usuario la posibilidad de realizar o 
editar fotografias protegiendo la information contenida en 
ellas. Desde el pixelado de caras hasta la elimination de meta- 
datos que puedan asociar la fotograffa con la persona que la 
ha realizado. Es una pequena navaja suiza para la privacidad 
en las instantaneas de nuestro smartphone. 

Caracteristicas de privacidad: 

Obtencion de fotografias con detection y pixelado auto- 
matico de caras. 

Elimination automatica de metadatos de las imagenes ob- 
tenidas con la aplicacion. 

Posibilidad de editar imagenes y limpiarlas de metadatos e 
information personal antes de compartirlas o publicarlas. 
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OpenKeyChain 

Gestor de claves PGP para Android 
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Description: 

Aplicacion que permite gestionar claves PGP para enviar y 
recibir correos cifrados. 

OpenPGP es un protocolo estandar para enviar correos usan- 
do cifrado de extremo a extremo (E2E). Para utilizar este 
sistema de protection de correo correctamente, es necesario 
comprender algunos conceptos basicos de criptografia asime- 
trica. Explicar PGP esta mas alia de los objetivos de este libro, 
por lo que nos limitamos a explicar que si sabes utilizarlo, 
puedes hacerlo desde tu Android con esta aplicacion. 

Caracteristicas de privacidad: 

Permite gestionar claves PGP desde nuestro smartphone. 
Es integrable con K-9 Mail. 
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OpenVPN 

Gestor de VPN para Android e iOS 
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Description: 

Aplicacion para cifrar el trafico de red del telefono a traves 
de una VPN con el protocolo abierto OpenVPN (ofrecido 
por multitud de proveedores). La aplicacion es sencilla de 
usar: tan solo hay que importar la configuration de Open¬ 
VPN (normalmente ofrecida por el proveedor) y activar la 
conexion a la VPN. Ademas, la aplicacion se puede configurar 
para conectarse automaticamente al encender el telefono. 

Caracteristicas de privacidad: 

Al usar una VPN conseguimos que el proveedor de red (com- 
pania telefonica, generalmente) no sepa que paginas ni que 
servicios usamos en Internet. Ademas, ayuda a dificultar que 
las paginas que visitemos nos identifiquen (ya que estamos 
enmascarando nuestra IP real). 

Es muy util para conexiones en redes wifi sin confianza (aero- 
puerto, biblioteca, etc.) 42 . 


42 En caso de que la conexion wifi requiera login median- 
te portal cautivo (ventana que solicita credenciales del 
usuario para acceder a Internet), habra que desactivar 
OpenVPN for Android temporalmente para hacer el login. 
Naturalmente, esto conlleva que durante este intervalo 
un atacante que este en la misma red wifi pueda observar 
e incluso modificar el trafico que de otra manera estarfa 
protegido por el protocolo OpenVPN. 
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Orbot 

Red de anonimizacion Tor en Android 
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Description: 

Aplicacion que permite conectar otras aplicaciones de tu tele- 
fono con la red Tor. Es el equivalente al programa Tor en PC 43 . 

Caracteristicas de privacidad: 

Cualquier aplicacion que permita acceder a Internet via 
proxy (SOCKS) puede conectarse con Orbot para anoni- 
mizar el trafico. 

El Modo VPN permite enrutar el trafico de nuestras apli¬ 
caciones a traves de Tor, ofreciendonos la posibilidad de 
escoger que aplicaciones queremos conectar a Tor y cuales 
no. 


En el momento de escribir estas lineas, TorBrowser for 
Android necesita Orbot para poder funcionar correcta- 
mente. 


43 


Puedes informarte mas sobre el funcionamiento de Tor en 
su pagina oficial: https://torproject.org. 
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Standard Notes 

Aplicacion de notas segura para Android e iOS 
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Description: 

Aplicacion para sincronizar notas de manera segura entre 
todos tus dispositivos. Tiene un diseno minimalista para favo- 
recer una escritura fluida, con un apartado de configuraciones 
reducido. Ademas, puedes asignar etiquetas a cada nota para 
encontrarlas con rapidez. 

Caracteristicas de privacidad: 

Todas las notas almacenadas en Standard Notes se cifran 
por defecto, de manera que ni el propio proveedor puede 
tener acceso a nuestra information. 

La empresa que gestiona la aplicacion tiene un compro¬ 
mise ferreo con la privacidad, renunciando (en la fecha en 
la que escribimos esto) al uso de herramientas de analisis 
comercial en sus aplicaciones. 
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Tor Browser 

Navegador web Tor para Android 
(en iOS: OnionBrowser) 
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Description: 

Navegador basado en Firefox que te permite navegar por la 
web de manera anonima. Esta aplicacion utiliza la red de Tor 
para acceder a las paginas que quieres visitar, enmascarando 
tu IP y reduciendo la probabilidad de que la pagina visitada 
identifique quien eres o desde donde te conectas. Es una apli¬ 
cacion oficial de Tor Project. 

En iOS encontramos OnionBrowser, mantenido por Mike 
Tigas, desarrollador y periodista de investigation en ProPu- 
blica. 

Caracteristicas de privacidad: 

Acceso anonimo a paginas web: las paginas que visitas 
no podran saber tu IP real ni relacionar tu conexion con 
actividad anterior o posterior mediante las tecnicas habi- 
tuales. 

Acceso a servicios ocultos de Tor: podras acceder a direc- 
ciones acabadas en .onion, llamados servicios ocultos o 
onion services. Estas paginas se caracterizan por ser solo 
accesibles desde Tor y no se puede determinar su IP o loca¬ 
lization de forma sencilla. Tampoco se puede determinar 
la localization de sus visitantes. 

La aplicacion no permite hacer capturas de pantalla. 
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OsmAnd 

Alternativa a Google Maps para Android 
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Description: 

Aplicacion ideal para reemplazar a Google Maps. Utiliza los 
mapas abiertos del proyecto OpenStreetMap, una coleccion 
de mapas de todo el mundo colaborativa, llevada a cabo en 
parte por voluntaries y de libre distribution y uso. Esta apli¬ 
cacion ofrece muchas caracteristicas interesantes, como por 
ejemplo: 

Los mapas de cualquier territorio (por ejemplo toda Espa- 
na) se pueden descargar para consulta offline. 

Permite anadir localizaciones favoritas, organizarlas y 
compartirlas con otros usuarios. 

Puede mostrar sitios como restaurantes, tiendas, gasoli- 
neras, puntos de interes con descripciones extraidas de 
Wikipedia, asi como paradas de transporte publico (y en 
algunos casos sus rutas), todo ello sin necesidad de cone- 
xion. 

Ofrece navegacion para coche, bici y a pie (usando los 
caminos indicados para cada caso, incluyendo carriles 
bici y rutas de senderismo) con instrucciones de voz en 
castellano. La ruta en coche muestra lo que se espera de 
un navegador GPS para vehiculos: velocidad actual, velo- 
cidad maxima de la via, tiempo estimado hasta llegar al 
destino o recalculo de ruta al desviarse. 

Permite registrar rutas, exportarlas e importarlas. 

A diferencia de Google Maps, OsmAnd no ofrece nave¬ 
gacion para usar transporte publico (aunque si se pueden 
consultar las rutas y paradas) ni recomendacion de rutas 
segun el trafico en tiempo real. 

Caracteristicas de privacidad: 

Dado que la aplicacion puede trabajar con mapas descarga- 
dos, no necesita enviar nuestra position a ningun servidor, por 


140 


Resistencia digital | Cri'ptica 


lo tanto, nuestra localization no sera compartida con ningun 
servicio externo 44 . Tambien es posible utilizar los mapas en 
linea de OpenStreetMap, pero en ese caso si que se revelaria 
nuestra posicion a los servidores del proyecto. 


La tecnologia GPS permite que los dispositivos conozcan 
su ubicacion geografica tan solo recibiendo la serial de los 
satelites, sin la necesidad de enviar ningun dato, conque 
nuestra posicion real seguira protegida. 


44 



ANEXOS 



Seguridad y libertad en 
condiciones no ideales: 
una polemica final 


«La ‘razon pura’ no es el entendimiento, sino una 
manera extremada de funcionar de este. Cuando Ro¬ 
binson aplica su inteligencia a resolver los urgentes 
problemas que la isla desierta le plantea, no usa de la 
razon pura. Impone a su intelecto la tarea de amol- 
darse a la realidad circundante, y su funcionamiento 
se reduce a combinar trozos de esa realidad. La razon 
pura es, por el contrario, el entendimiento abando- 
nado a si misrno, que construye de su propio fondo 
armazones prodigiosas, de una exactitud y de un rigor 
sublimes. En vez de buscar contacto con las cosas, se 
desentiende de ellas y procura la mas exclusiva fideli- 
dad a sus propias leyes internas» 45 . 

Jose Ortega y Gasset 

Como sucede en cualquier otra disciplina, la historia de 
la seguridad esta repleta de polemicas, puntos de inflexion, 
impresiones radicalmente opuestas y hasta rupturas. Lejos de 
existir una unidad compartida entre la pluralidad de voces que 
participan de la discusion, cada sector acaba por proyectar un 
camino propio a partir de sus circunstancias particulares, de 
su singular experiencia. 

«De la unidad no queda mas que la nostalgia» 46 . Y por el 
bien de la disciplina, creemos que es bueno que asi sea: nada 


45 Jose Ortega y Gasset (1939): El tema de nuestro tiempo, 
Espasa-Calpe, Buenos Aires, p. 110. 

46 Comite Invisible (2017): Abora, Pepitas de Calabaza, Lo- 
grono, p. 30. 


M3 



144 


Resistencia digital \ Cri'ptica 


mas ajeno a la buena marcha de un debate que las burbujas de 
opinion, versiones informatizadas de las asfixiantes pautas de 
socialization vigentes en ciertos circulos militantes desde hace 
decadas, encomendadas a simular exteriormente una unidad 
de opiniones que nunca han tenido. 

La unidad de opiniones es todo lo contrario a lo que, 
como disciplina, se nos exige. Asumirla como ideal significa 
vagar entre las hojas de una tijera, que limita o directamente 
suprime los diagnosticos alternativos de una misma situation. 
Equivale a dejar congelada la tarea de la reflexion, paralizar el 
debate sin llegar a unas conclusiones satisfactorias para todo 
el mundo, ademas de desaprovechar el potential de examenes 
distintos que pueden enriquecer el propio punto de vista. 

Entendemos que la seguridad, para ser efectiva, necesita 
alimentarse del mayor numero de impresiones y de la mayor 
cantidad de experiencias posibles. A nuestro pesar, prac- 
ticamos este arte sin tener una hoja de respuestas, es decir, 
soluciones permanentes para todos los problemas que se nos 
puedan aparecer. A lo sumo, disponemos de distintos manua- 
les de instrucciones de tipo general (como este), que nunca 
van a ser capaces de estar a la altura de nuestras demandas 
de seguridad concretas en cada situation. Y tampoco se les 
deberia exigir tanto. 

Igual que sucede con los manuales, un codigo de idea- 
les o valores fomenta el rapido aprendizaje al familiarizarnos 
con un determinado tipo de respuesta, pero en ambos casos 
esta suele ser una mera indication de tipo abstracto, que no 
nos sirve para resolver situaciones cotidianas. Critico con las 
abstracciones de este cuno, Michael Oakeshott 47 habla de la 
«politica del libro» 48 para referirse al tipo de politica que, 
asimilandose con la ingenieria, la reduce a «un conjunto de 
reglas que, idealmente, conforman un metodo infalible cuya 


47 Michael Oakeshott fue un filosofo del escepticismo ingles 
del siglo XX, afin al conservadurismo politico. 

48 Michael Oakeshott (2017): Ser conservador y otros ensa- 
yos escepticos, Alianza Editorial, Madrid, p. 47. 
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aplicacion es mecanica y universal» 49 . Y dada la formation 
tecnica de una buena parte de los expertos en seguridad, pa- 
rece casi inevitable la tentacion (tan en boga en los distintos 
manuales) de querer explicarlo todo mediante su formulation 
en «reglas, principios, directrices, maximas» que son siempre 
abstractas, perdiendo el conocimiento sobre el terreno, su fa- 
ceta eminentemente practica, operativa. 

Como resultado de esta perception de la seguridad no 
como una laboriosa tarea pedagogica, sino como algo pareci- 
do al despliegue ordenado de una operation de ingenierfa, la 
manera de afrontarla a nivel de posicionamientos o valores se 
ve reducida a un repertorio de hermosas recetas en abstracto, 
aplicables por encima de cualquier circunstancia, «que de- 
bera[n] adquirirse por instruction en una ideologia mas que 
por una education en el comportamiento» S0 . Asi, valores que 
desde Criptica compartimos, como son el software libre o los 
proyectos comunitarios, dejan con ciertas posturas morales 
de ser meros principios orientativos de las acciones para con- 
vertirse en autenticas barreras ideologicas, que no se pueden 
sortear en modo alguno. 

Situar un principio como condicionante de toda prescrip¬ 
tion posterior, por bienintencionado y loable que pueda ser, 
limita inmediatamente la flexibilidad estrategica de los for- 
madores, puesto que disminuye la cantidad de instrumentos 
que podemos poner al servicio del usuario. Ciertamente, una 
aplicacion que reuniera el conjunto de caracterfsticas que de- 
seamos como asociacion (segura por defecto, usable, software 
libre y estar enmarcada en un proyecto sin animo de lucro) 
tendria todos los numeros para que la acabaramos recomen- 
dando..., pero los servicios que cumplen esas condiciones en 
su totalidad conforman una (honrosisima) exception, clara- 
mente minoritaria en un ecosistema movil en el que no existen 
tantas alternativas como nos gustaria. 

Hasta ahora, la usabilidad ha pagado los platos rotos del 
proceso de autolimitacion que resulta de la rigidez de princi- 

49 Ibid., p. 57. 

50 Ibid., p.131. 
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pios, siendo el usuario final (naturalmente, no el experto en 
seguridad, ni tampoco el ingeniero) el gran perjudicado. La 
mente del tecnico, que se abstrae de sus propias circunstan- 
cias (formation espetifica, experiencia profesional, facilidad 
para interaccionar con las tecnologlas de la information, en- 
torno personal proclive a probar las ultimas herramientas), ha 
dejado de considerar la usabilidad como un requisito indis¬ 
pensable, porque en sus condiciones particulares (favorables a 
la experimentation constante) no se la contempla como nece- 
saria, sino mas bien como un lujo prescindible. Asf, el usuario 
debiera verse forzado a aprender , a dominar la tecnica igual 
que lo hace el ingeniero desde su rectitud moral, dejando de 
lado el hecho de que no comparta su misma situation. 

Queremos, con esta parte final, llamar a la polemica. Por 
el bien de la disciplina de la seguridad, a pesar de que ello nos 
pueda conllevar posibles criticas por nuestra falta de pureza 
ideologica. Afirmamos: 

Aunque creamos que se necesita pedagogta en materia de 
seguridad, creemos que son nuestros principios los que deben 
terminar por adaptarse a las circunstancias de cada persona, 
no al reves. No estamos en la situacion de exigir al usuario 
final aprender mas alia de un umbral minimo, ni de justificar 
su perdida de usabilidad por tratarse de una herramienta que 
se amolda mejor a los valores que predicamos. 

Esta decision entra dentro de nuestra responsabilidad 
desde el momento en que sabemos que no todo nuestro pu¬ 
blico es experto en la materia ni tampoco desea llegar a serlo 
algun dfa, pero siente una franca inquietud ante las constantes 
intromisiones a su privacidad. 

Vayamos ahora a algunas de las consecuencias practicas 
de este posicionamiento, que nos ha llevado meses de debate a 
nivel interno. Durante el largo proceso de elaboration de este 
manual, la busqueda de una seguridad movil robusta para el 
usuario medio nos ha conducido a tener que plantearnos seria- 
mente las ventajas e inconvenientes tanto de Android como de 
iOS, sin dar nada por sentado y pese a que este examen pueda 
acarrear ver menoscabados (en parte) algunos de nuestros 
principios. Aunque en algunos sectores puedan considerar ex- 
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tremadamente superfluo este dilema (dado que el iOS de Apple 
representa todo lo contrario a los valores del software libre), 
un factor diferencial ha complicado mucho nuestra eleccion: 
el hecho de que, a diferencia de los dispositivos Android, el 
iPhone opte por la seguridad por defecto en su configuracion. 
Cualquiera que haya interaccionado mmimamente con termi- 
nales Android, sabe que son poco afines a tener configurados 
de serie los parametros de seguridad o a hacerlos intuitivos 
para el usuario, ademas de no poseer tampoco la sencillez de- 
rivada de la uniformidad de interfaces, pues cambian segun 
modelo, version y fabricante 51 . 

Nuestro periplo de los ultimos anos nos ha llevado a con- 
cluir que, para ser efectiva, la seguridad tiene que ser intuitiva, 
accesible y facil de conseguir. Y la mejor manera de hacerlo 
es pidiendole lo menos posible al usuario, proporcionandole 
de antemano la configuracion adecuada para que su dispositi- 
vo disponga de un considerable nivel de seguridad tan pronto 
como empiece a usarlo. Cuantos mas procesos se dejan en 
manos del usuario final, mayor es el umbral de exclusion, mas 
dificil le es aprenderlos todos y mas probable que se equivoque 
al configurarlos u olvide algun parametro importante. Ahi ra- 
dica el merito de herramientas como Signal o Wire: han hecho 
que la seguridad no sea opcional, sino que venga incrustada 
por defecto en la aplicacion, de forma que el menos habil tiene 
acceso al mismo nivel de proteccion que el experto que lleva 
anos en la disciplina. 

El iPhone, a pesar de pertenecer a un ecosistema cerrado 
y tutelado por Apple, tambien mantiene una ferrea politica 
de seguridad por defecto, dado que se trata de un dispositivo 
cuya memoria se encuentra cifrada de serie y las opciones de 


51 Aprovechamos para mencionar que la existencia de mas 
de un actor en el ecosistema de Android (Google y el fa¬ 
bricante, como minirno) perjudica potencialmente el ritmo 
de adopcion de las actualizaciones de seguridad: hasta que 
el fabricante (Huawei, Samsung, Xiaomi...) no las incor¬ 
pora a su version personalizada de Android, los dispositi¬ 
vos de la marca siguen desprotegidos independientemente 
de que Google si haya publicado la actualizacion. 
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seguridad y privacidad son eminentemente simples, ademas de 
compartir todos los modelos una misma interfaz. Asimismo, 
Apple mantiene una politica de actualizaciones de seguridad 
sumamente regulares, hasta el punto de que un 75 % de sus 
dispositivos en uso son compatibles con la ultima version de 
iOS en el momento de escribir estas lineas 52 . 

Por el contrario, la mayoria de marcas de Android no 
cifran por defecto la memoria de sus productos, no los actuali- 
zan con la regularidad que deberfan (solamente un 21,5 % del 
total de telefonos Android disfrutaban en octubre del 2018 de 
la ultima version del momento, Oreo, lanzada un ano atras S3 ) 
y la configuration de privacidad se encuentra dispersa entre 
multiples aplicaciones. El peor escenario posible, en definitiva, 
para pensar la seguridad, por mucho que Android aventaje 
claramente a iOS en su condition de proyecto de software 
libre (aunque administrado por Google, lo cual no es poco 
relevante teniendo en cuenta que se trata de una empresa cuyo 
modelo de negocio son los datos que generamos). 

Con esto no estamos prescribiendo un tipo concreto de 
telefono ni tomando partido por ninguna de las dos partes. 
Nada mas lejos de nuestra intention. Tampoco significa con- 
fiar ciegamente en Apple: perdimos la ingenuidad al entrar en 
este juego, de forma que somos conscientes de que agendas 
como la NSA americana bien podrfan tener una Have maestra 
para entrar en la memoria del iPhone (de hecho, es altamente 
probable que la tenga). Pero la realidad de la gran mayoria de 
nuestro publico es la siguiente: nunca van a tener un adversa- 
rio del tarnano de la NSA. Y en el remoto caso de que alguien 
lo acabara teniendo, el tipo de movil que usara seria la menor 
de sus preocupaciones, si es que llegara a tener uno (probable- 
mente no). 

Querfamos, con este anexo, poner en circulation un males- 
tar que no estamos plenamente seguros de que sea compartido, 


52 Las estadfsticas de Apple pueden consultarse en: https:// 
developer.apple.com/support/app-store. 

53 Las estadfsticas de Android pueden consultarse en: https:// 
developer.android.com/about/dashboards. 
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pero con el que nuestra experiencia singular se ha encontra- 
do al buscar la mejor protection para el usuario medio, sin 
que ello le tuviera que comportar una perdida notable de usa- 
bilidad. Cuando decimos que la seguridad deberia ajustarse 
a las circunstancias reales de cada uno, nos referimos a es- 
tructurar para cada persona una defensa que tenga en cuenta 
sus conocimientos en la misma medida que las amenazas que 
pesan sobre ella (las realmente existentes, no las hipoteticas). 
Afrontar esta laboriosa tarea implica someter nuestros valores 
a las capacidades y exigencias concretas de cada individuo o 
grupo sin querer imponerles un esquema abstracto y, por ello, 
«ideal», valido por encima de cualquier situation circunstan- 
cial pero imposible de asumir para la aplastante mayoria de 
gente no tecnica. 

Nuestros principios, de querer mantenerlos inquebranta- 
bles, los guardariamos en una urna de cristal, a salvo de los 
caprichos del tiempo. Pero hemos preferido asumir el reto, 
no para distanciarnos de los valores generates de la comuni- 
dad, sino precisamente para hacerlos operativos en el piano 
de lo real. Una cultura de la seguridad no se conseguira for- 
mulandola en reglas derivadas de firmes e insalvables barreras 
ideologicas. Sea cual sea la situation de la que se parta, nuestra 
experiencia cotidiana nos ha llevado a concluir que todas ellas 
son distintas e irreductibles a las plantillas disenadas de ante- 
mano por una minoria de expertos en la tecnica. El imperativo 
categorico nunca pudo ser una formula social, sino una moral 
de elites. 

Instruir es, ante todo, saber adaptarse al contexto, que no 
siempre tendra las mismas necesidades, formation ni voluntad 
de aprendizaje. Por eso es imprescindible que, como formado- 
res, hagamos un esfuerzo por ser flexibles en lo que intentamos 
transmitir, una cultura de la seguridad factible de asumir por el 
mayor numero de gente que sea posible, independientemente 
de su conocimiento tecnico. Este horizonte que perseguimos 
es un cambio tan radical respecto a la actual situation de vul- 
nerabilidad, que la interpretation tactica de nuestros valores 
habra merecido la pena. Digan lo que digan los portavoces de 
unos principios cualitativamente mas puros que los nuestros. 
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Existe tal cantidad de manuales y guias sobre seguridad 
digital, que es altamente probable que nos hayamos dejado 
alguna en el tintero. Las razones de este olvido (de haberse 
producido) son exclusivamente por nuestro propio descono- 
cimiento, y en ningun caso por una voluntad deliberada de 
minusvalorar la labor de quienes trabajan en los mismos cam- 
pos que nuestra asociacion. 
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